email-4563194_640-1.jpg

Ciberespiões usam backdoor para roubar e-mails do Exchange

Da Redação
02/05/2022

Um grupo de ameaças persistentes avançadas (APT) recém-descoberto, bastante furtivo, está violando redes corporativas para roubar e-mails do Exchange (on premise e online) de funcionários envolvidos em transações corporativas, como fusões e aquisições.

Pesquisadores da Mandiant, que descobriram o operador da ameaça e agora o rastreiam como UNC3524, dizem que o grupo demonstrou capacidades “avançadas” ao manter o acesso aos ambientes de suas vítimas por mais de 18 meses, em alguns casos.

“Uma vez que o hacker do UNC3524 obtém credenciais privilegiadas para acessar o ambiente de e-mail da vítima, ele começa a fazer solicitações de API do Exchange Web Services (EWS) para o ambiente on premise do Microsoft Exchange ou do Microsoft 365 Exchange Online”, disse a Mandiant.

Ainda segundo a empresa, em cada um dos ambientes de vítima do UNC3524, o operador da ameaça teria como alvo um subconjunto de caixas de correio, concentrando sua atenção em equipes executivas e funcionários que trabalham em desenvolvimento corporativo, fusões e aquisições ou equipe de segurança de TI.

O UNC3524 pode persistir implantando uma backdoor recém-descoberta chamada QUIETEXIT (desenvolvida usando o software Dropbear SSH de código aberto como inspiração) em dispositivos de rede sem suporte para monitoramento de segurança e ferramentas de detecção de malware.

Em alguns ataques, o UNC3524 também implantou o web shell reGeorg (uma versão vinculada pela NSA ao grupo APT28/Fancy Bear patrocinado pela Rússia) em servidores web DMZ para criar um túnel SOCKS como um ponto de acesso alternativo nas redes de suas vítimas.

Ao implantar seu malware nesses dispositivos (por exemplo, controladores de ponto de acesso sem fio, matrizes SAN e balanceadores de carga), o UNC3524 estende muito o intervalo entre o acesso inicial e quando as vítimas detectam sua atividade maliciosa e cortam o acesso.

No entanto, mesmo quando isso acontece, Mandiant diz que o grupo de ameaças “não perdeu tempo em comprometer o ambiente com uma variedade de mecanismos, reiniciando imediatamente sua campanha de roubo de dados”.

Veja isso
Servidores Exchange hackeados para instalar ransomware
Hackers usam módulo IIS para roubar credenciais do Exchange

Os servidores de comando e controle (C&C) da backdoor QUIETEXIT são parte de uma botnet construída para comprometer os sistemas de câmeras de videoconferência IP LifeSize e D-Link IP expostos à Internet, provavelmente com credenciais padrão.

Depois de obter acesso e implantar seus backdoors, o UNC3524 obteve credenciais privilegiadas para o ambiente de e-mail de suas vítimas e começou a direcionar caixas de correio locais do Microsoft Exchange ou do Microsoft 365 Exchange Online por meio de solicitações de API do Exchange Web Services (EWS).

De acordo com os pesquisadores da Mandiant, eles geralmente roubam todos os e-mails recebidos por “equipes executivas e funcionários que trabalham em desenvolvimento corporativo, fusões e aquisições ou equipe de segurança de TI” em um intervalo de datas específico, em vez de escolher e-mails de interesse ou usar filtragem de palavras-chave (essa é uma tática usada por Cozy Bear/APT29 apoiado pela Rússia).

Dado que o UNC3524 usou táticas e ferramentas anteriormente vinculadas a vários grupos de hackers apoiados pela Rússia (incluindo APT28 e APT29), a Mandiant disse que a atribuição é nebulosa e não pode vincular essa atividade a um grupo de ameaças específico.

Compartilhar: