近日，Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁(APT)组织正在入侵企业网络，并试图窃取参与企业交易(如并购)员工的 Exchange(内部和在线)电子邮件。

网络安全研究人员将该 APT 组织追踪为 UNC3524，并强调在某些情况下，该组织可以对受害者环境进行超过 18 个月的访问，展示了其 "先进 "的隐匿能力。

在每一个 UNC3524 受害者环境中，攻击者都会针对一个子集的邮箱，集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。

获取权限后，立刻窃取数据

Mandiant 表示，一旦 UNC3524 成功获得受害者邮件环境特权凭证后，就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。

另外，UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上，部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发)，以保持长期攻击。

在一些攻击中，UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注：该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联)，以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。

https://s8.51cto.com/oss/202205/05/2422159053f16c853b352320e1df79413aa435.jpg

UNC3524 隧道

UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件，大大延长了初始访问与受害者检测到其恶意活动，并切断访问之间的时间间隔。

值得一提的是，Mandiant 表示，即使延长了时间，UNC3524 组织也没有浪费时间，一直使用各种机制重新破坏环境，立即重新启动其数据盗窃活动。

QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分，该僵尸网络通过默认凭证，破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。

在获得访问权并部署其后门后，UNC3524 获得了受害者邮件环境的特权凭证，并开始通过 Exchange 网络服务(EWS)API请求，瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。

值得注意的是，UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件，而不是挑选感兴趣的电子邮件。