首页 > 安全 > 正文

UNC3524 APT使用IP摄像机部署后门和目标交换

最后更新 :2022.05.03

一个新的APT组,被跟踪为UNC3524,使用IP摄像机部署后门并窃取Microsoft Exchange Emails。

Mandiant研究人员发现了一个新的APT小组,该小组追踪为UNC3524,该小组旨在针对这些员工的电子邮件。专注于公司发展,合并和收购以及大型公司交易。

一旦获得了对目标系统的初步访问,UNC3524部署了由Mandiant研究人员追踪的先前未知的后门,为Quietexit。Quietexit后门从开源Dropbear SSH客户端服务器软件中借用了代码。威胁参与者在目标网络中的网络设备上部署了静态功能,包括负载平衡器和无线访问点控制器。

这些设备通常运行较旧版本的BSD或CENTOS版本,并且需要大量计划来为其编译功能恶意软件。专家指出,这些系统不受安全保护由于这个原因,解决方案至少在受害者环境中仍未发现18个月。

通过针对不支持任何类型的安全工具的受害者环境中的受信任系统,UNK3524能够在受害者中未被发现。环境至少18个月。

UNC3524也认真对待持久性。每次受害者环境消除访问权限时,该小组都不会浪费时间通过各种机制重新启动环境,立即重新启动其数据盗窃活动。我们正在分享UNC3524使用的工具,策略和程序,以帮助组织追求和防止其操作。读取Mandiant发表的分析。

QuietExit不支持持久机制,UNC3524攻击者安装运行命令(RC)以及Hijack合法应用程序特定于应用程序特定的启动脚本以在系统启动上执行后门。

unc3524 IP cameras

我的案例,观察到UNC3524在DMZ Web服务器上部署了Regeorg Web Shell 以创建袜子代理。

专家指出,UNC3524S TTPS与与俄罗斯链接的apteped apted apted appted appted apteped apt ttps相关。包括APT28和APT29。

Mandiant仅观察到APT29 进行

SPN凭据添加;但是,自2019年初以来,该技术已公开报告。NSA以前已经报道了使用Kubernetes,Exchange剥削和Regeorg与APT28相关的自动化密码喷涂。尽管NSA报告的活动使用了TOR和商业VPN,但UNC3524主要使用了受损的互联网面向设备。总结得出的分析还包括妥协(IOC)和Yara规则的指标。UNC3524使用Regeorg的一个有趣方面是,它与NSA公开报告的APT28使用的版本相同。在写作时,Mandiant无法得出结论我们将UNC3524链接到当前由Mandiant跟踪的现有小组。


请投票给安全事务作为最佳的欧洲网络安全博客作者奖2022奖2022投票给您的获奖者
在Dissogs Best Dogep the Section中为我投票。个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他人。要提名,请访问: https://docs.google.com/forms/forms/forms/forms/d/e/1faipqlsfxxxr ticelyimz9QM9IIPUMQIMQIMQIMQIMQIMQICMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQICIMQIMQICIMQICIMQICIMQICIMQICIMQic-IOM-NPQMOSFZNJXRBQRYJGCOW/viewForm  

- END -

看更多