Les cyberespions pénètrent dans les réseaux via des caméras IP pour voler les e-mails Exchange

Hacker

Un groupe APT (Advanced Persistent Threat) nouvellement découvert et inhabituellement furtif s’attaque aux réseaux d’entreprise pour voler les e-mails Exchange (sur site et en ligne) des employés impliqués dans des transactions d’entreprise telles que des fusions et acquisitions.

Les chercheurs de Mandiant, qui ont découvert l’acteur de la menace et le suivent désormais sous le numéro UNC3524, affirment que le groupe a démontré ses capacités « avancées » en maintenant l’accès aux environnements de ses victimes pendant plus de 18 mois (dans certains cas).

« Une fois que l’UNC3524 a réussi à obtenir des informations d’identification privilégiées pour l’environnement de messagerie de la victime, ils ont commencé à envoyer des demandes d’API Exchange Web Services (EWS) à l’environnement Microsoft Exchange sur site ou Microsoft 365 Exchange Online », a déclaré Mandiant. mentionné.

« Dans chacun des environnements de victimes UNC3524, l’acteur de la menace ciblerait un sous-ensemble de boîtes aux lettres, concentrant son attention sur les équipes de direction et les employés qui travaillent dans le développement de l’entreprise, les fusions et acquisitions, ou le personnel de sécurité informatique. »

L’UNC3524 peut persister en déployant une porte dérobée nouvellement découverte baptisée QUIETEXIT (développée à l’aide du logiciel open source Dropbear SSH comme source d’inspiration) sur les appareils réseau sans prise en charge des outils de surveillance de la sécurité et de détection des logiciels malveillants.

Le serveur de commande et de contrôle de cette porte dérobée est également installé sur le point d’accès aux environnements des victimes, à savoir les systèmes de caméras de visioconférence IP LifeSize et D-Link exposés à Internet, probablement avec des informations d’identification par défaut.

Dans certaines attaques, UNC3524 a également déployé le shell Web reGeorg (une version liée par la NSA au groupe APT28/Fancy Bear parrainé par la Russie) sur des serveurs Web DMZ pour créer un tunnel SOCKS comme point d’accès alternatif aux réseaux de ses victimes.

Tunnellisation UNC3524
Tunnelier UNC3524 (Mandiant)

En déployant ses logiciels malveillants sur ces appareils (par exemple, les contrôleurs de points d’accès sans fil, les baies SAN et les équilibreurs de charge), l’UNC3524 prolonge considérablement l’intervalle entre l’accès initial et le moment où les victimes détectent son activité malveillante et coupent l’accès.

Cependant, même lorsque cela se produit, Mandiant affirme que le groupe de menaces « n’a pas perdu de temps pour remettre en cause l’environnement avec une variété de mécanismes, relançant immédiatement sa campagne de vol de données ».

Après avoir obtenu l’accès et déployé ses portes dérobées, UNC3524 a obtenu des informations d’identification privilégiées pour l’environnement de messagerie de ses victimes et a commencé à cibler les boîtes aux lettres Microsoft Exchange ou Microsoft 365 Exchange Online sur site via des demandes d’API Exchange Web Services (EWS).

Ils volent généralement tous les e-mails reçus par « les équipes de direction et les employés qui travaillent dans le développement de l’entreprise, les fusions et acquisitions ou le personnel de sécurité informatique » sur une plage de dates spécifique au lieu de sélectionner les e-mails d’intérêt ou d’utiliser le filtrage par mot-clé (c’est une tactique utilisée par Cozy Bear/APT29 soutenu par la Russie).

Étant donné que l’UNC3524 a utilisé des tactiques et des outils précédemment liés à plusieurs groupes de piratage soutenus par la Russie (y compris APT28 et APT29), Mandiant a déclaré que l’attribution est floue et ne peut pas lier cette activité à un groupe de menaces spécifique.