据 Mandiant 称，一个网络间谍组织正瞄准 Microsoft Exchange 部署，以窃取与并购和大型企业交易相关的数据。

这家信息安全巨头的研究人员将网络间谍威胁组织称为 UNC3524。

虽然它的技术与所谓的“多个”俄罗斯网络间谍所使用的技术重叠，包括被指控干涉美国选举和劫持 SolarWinds 软件更新的克里姆林宫支持的团伙，但 Mandiant 表示它无法确定地联系UNC3524 到以前见过的高级持续威胁组。

该网络团伙对企业交易和并购的关注似乎表明了他们的不当行为的财务动机。然而，Mandiant 研究人员 Doug Bienstock、Melissa Derr、Josh Madeley、Tyler Mclellan 和 Chris Gardner在对 UNC3524 的分析中写道，“他们在比 2021 年 21 天的平均停留时间长一个数量级的时间内保持未被发现的能力”表明存在间谍活动。工具、策略和程序。

他们解释说：“该组织在实现如此长的停留时间方面取得的成功部分归功于他们选择在不支持安全工具（例如防病毒或端点保护）的受害环境中的设备上安装后门。”

他们补充说，犯罪分子将“高级”置于高级持续性威胁组中，理由是该组具有高水平的操作安全性、低恶意软件足迹、规避技能以及拥有庞大的物联网僵尸网络军队。

此外，每次受害者移除入侵者的访问权限时，UNC3524 都会迅速找到一种方法来重新侵入该组织的网络并“立即”重新开始窃取数据。

进行“安静退出”
在分析中，Mandiant 的团队详细说明了窥探者如何部署一个被威胁猎手称为 Quietexit 的新型后门。我们被告知它基于开源 Dropbear SSH 客户端-服务器软件。

威胁研究人员指出，他们不知道船员是如何获得初始访问权限的，但一旦他们闯入，他们就会在不透明的网络设备上部署后门，例如 SAN 阵列、负载平衡器和无线接入点控制器。这些类型的设备通常不支持安全工具，例如防病毒或端点检测产品，这些产品允许 UNC3524 至少 18 个月不被发现。

在某些情况下，Quietexit 将自身重命名为系统上的合法文件。该恶意软件随后会尝试连接到硬编码的命令和控制 (C2) 地址，Mandiant 指出，犯罪分子还倾向于使用与合法流量混合的 C2 域。

例如：如果恶意软件感染了负载均衡器，该团伙使用 C2 域，其中包含可能与设备供应商和操作系统名称相关的字符串。研究人员指出：“这一级别的规划表明，UNC3524 了解事件响应流程，并试图让他们的 C2 流量对任何可能滚动浏览 DNS 或会话日志的人来说都是合法的。”

UNC3524 有时使用辅助后门来获得访问权限：DMZ Web 服务器上的 ReGeorg Web shell，它创建了 SOCKS 代理。

然而，他们只在 Quietexit 后门停止工作时才使用 web shell，而且他们总是使用一个模糊的、“高度混淆”的 ReGeorg 版本，美国国家安全局已将 [ PDF ] 链接到 APT28，也称为 Fancy Bear，一个由俄罗斯支持的团伙GRU 军事情报局。

部署后门后，UNC3524 获得了受害者电子邮件环境的特权凭据，然后开始向 Microsoft Exchange 或 Microsoft 365 Exchange Online 发出 Exchange Web Services (EWS) API 请求。

该团伙专门针对执行团队的邮箱，或从事企业发展、并购或 IT 安全工作的员工，尽管 Mandiant 指出，针对 IT 安全可能会确定他们的数据盗窃操作是否已被检测到。

此外，UNC3524 用于 EWS 模拟和 SPN 凭证添加的方法也类似于俄罗斯网络间谍团伙使用的方法，包括 APT29/Cozy Bear，这是2019 年底SolarWinds黑客攻击的幕后组织。