Ранее неизвестная кибершпионская группировка использует хитроумные методы для взлома корпоративных сетей и кражи информации, связанной со слияниями, поглощениями и другими крупными финансовыми операциями - и ей удается оставаться незамеченными жертвами в течение более чем 18 месяцев.
По данным исследователей кибербезопасности из компании Mandiant, хакерская группа UNC3524 действует как минимум с декабря 2019 года и использует ряд передовых методов для проникновения и сохранения присутствия во взломанных сетях, что отличает ее от большинства других киберпреступных групп. Эти методы включают возможность немедленного повторного заражения сред после удаления доступа. В настоящее время неизвестно, как группа получает первоначальный доступ.
Одна из причин, по которой UNC3524 так успешно и долго присутствует в сетях, заключается в установке бэкдоров в приложения и сервисы, которые не поддерживают средства защиты, такие как антивирус или защита конечных точек.
Атаки также используют уязвимости в продуктах Интернета вещей, включая камеры для конференц-залов, для установки бэкдоров на устройствах, что приводит к их включению в ботнет, который может быть использован для латерального перемещения по сети, обеспечивая доступ к прочим серверам.
Отсюда злоумышленники могут закрепиться в сетях Windows, развернув вредоносное ПО, которое практически не оставляет следов, а также использует встроенные протоколы Windows. Все это помогает группе получить доступ к привилегированным учетным данным к среде Microsoft Office 365 и серверам Microsoft Exchange.
Такое сочетание атак на IoT-устройства, скрытного вредоносного ПО и использования легитимных протоколов Windows, активность которых можно принять за обычный трафик, позволяет UNC3524 добиться небывалого уровня скрытности - и именно поэтому те, кто стоит за атаками, смогли оставаться в сетях жертв в течение значительных периодов времени.
«Нацеливаясь на доверенные системы в средах жертв, которые не поддерживают никаких инструментов безопасности, UNC3524 смогла оставаться незамеченной в инфраструктуре жертв в течение как минимум 18 месяцев» - заявляют исследователи из Mandiant.
Если доступ к сети каким-то образом удалялся, злоумышленники почти сразу же возвращались обратно, чтобы продолжить кампанию по шпионажу и краже данных.
UNC3524 уделяет большое внимание электронной почте сотрудников, которые занимаются корпоративным развитием, слияниями и поглощениями, а также крупными корпоративными сделками. Хотя может показаться, атаки финансово мотивированы, длительность пребывания в сетях – месяцы, или даже годы - заставляет исследователей предположить, что реальной мотивацией атак является шпионаж.
В Mandiant отмечают, что некоторые методы, используемые UNC3524 при проникновении в сети, перекликаются с российскими группами кибершпионажа, включая APT28 (Fancy Bear) и APT29 (Cozy Bear).
Однако они также отмечают, что в настоящее время «не могут окончательно связать UNC3524 с какой-либо известной хакерской группой», но подчеркивают, что UNC3524 - это продвинутые киберпреступники, демонстрирующие на редкость высокий уровень компетенции.
«В ходе всех своих операций злоумышленники демонстрировали высокий уровень оперативной безопасности, который, как мы видим, демонстрирует лишь небольшое число хакерских групп» - заявили исследователи.
Одна из причин, по которой UNC3524 настолько сильна, заключается в способности скрывать факт компрометации инфраструктуры с помощью использования менее контролируемых инструментов и программного обеспечения. Исследователи предполагают, что наилучшей возможностью для обнаружения подобных атак остается сетевое протоколирование.
В дополнение к этому, поскольку атаки направлены на использование незащищенных и неконтролируемых IoT-устройств и систем, организациям предлагается «предпринять шаги по инвентаризации устройств, которые находятся в сети и не поддерживают средства мониторинга».
Источник: https://www.zdnet.com
