Botnet, nascosto per 18 mesi, vanta alcuni dei trading più interessanti di sempre!

Questa non è una scoperta di sicurezza che accade spesso. In precedenza, un gruppo di hacker sconosciuto utilizzava un nuovo software commerciale di alta qualità per creare una botnet spia che era in gran parte invisibile alle reti di molte vittime.

Il gruppo, chiamato Mandiant Security dall’UNC3524, ha represso le reti delle vittime negli ultimi 18 mesi. Nei casi in cui il gruppo viene espulso, non perdere l’ambiente della vittima per reinfettare և continuare dove tutto è rimasto. Ci sono molte chiavi per la sua privacy, tra cui:

  • L’uso dell’esclusivo back-end di Mandiant è chiamato Quietexit, che funziona su bilanciatori di carico, controller di access point wireless e altri tipi di dispositivi IoT che non supportano antivirus o rilevamento degli endpoint. Ciò rende difficile il rilevamento con i mezzi tradizionali
  • Versioni backdoor personalizzate che utilizzano nomi di file և date di creazione simili ai file legali utilizzati su un particolare dispositivo infetto
  • Un approccio terrestre che preferisce le interfacce e gli strumenti di programmazione Windows comuni al codice personalizzato con l’obiettivo di lasciare meno traccia possibile.
  • L’insolito dispositivo posteriore di secondo stadio che si connette all’infrastruttura controllata dall’attaccante agisce essenzialmente come un server crittografato TLS che si fida dei dati tramite il protocollo SOCKS.

Feticismo del tunnel con i calzini

I ricercatori Mandiant Doug Binstock, Melissa Deer, Josh Madeleine, Tyler McLellan մեջ Nel post և Chris Gardner ha scritto:

Durante le loro operazioni, l’attore delle minacce ha dimostrato una sicurezza operativa complessa, che vediamo dimostrata solo da una piccola parte degli attori delle minacce. L’attore della minaccia ha evitato il rilevamento lavorando con i dispositivi negli angoli ciechi dell’ambiente interessato, inclusi i server che eseguono versioni insolite di Linux և dispositivi di rete che eseguono sistemi operativi opachi. Questi dispositivi և dispositivi che eseguono versioni di sistemi operativi non supportati da strumenti di sicurezza basati su agenti և spesso avevano il livello previsto di traffico di rete che consentiva agli aggressori di unirsi. da terra senza la necessità di portare strumenti aggiuntivi, riducendo ulteriormente la possibilità di rilevamento. Ciò ha consentito all’UNC3524 di rimanere inosservato nell’ambiente delle vittime, in alcuni casi per più di 18 mesi.

Il tunnel SOCKS ha consentito agli hacker di collegare efficacemente i loro server di sorveglianza alla rete della vittima, dove potevano quindi eseguire strumenti senza lasciare traccia sul computer della vittima.

Mandato:

La backdoor secondaria forniva un modo alternativo per accedere alle reti infette. Era basato su una versione della webshell legale di reGeorg che era pesantemente oscurata per rendere più difficile il rilevamento. L’attore della minaccia l’ha usato quando la porta principale sul retro ha smesso di funzionare. I ricercatori hanno spiegato.

Dopo essere apparso nell’ambiente della vittima, l’attore della minaccia ha trascorso del tempo esplorando i server Web nell’ambiente della vittima per assicurarsi di averne trovato uno disponibile su Internet prima che REGEORG lo copiasse. Si sono assicurati di dare un nome al file in modo che potesse essere unito a un’applicazione in esecuzione su un server compromesso. Mandiant ha anche osservato casi in cui UNC3452 utilizzava la misurazione del tempo [referring to a tool available here for deleting or modifying timestamp-related information on files] Cache web REGEORG Per modificare i timestamp delle informazioni standard in modo che corrispondano ad altri file nella stessa directory.

Un modo per mantenere un basso profilo degli hacker è che i protocolli standard di Windows supportino il malware. Per raggiungere i sistemi di interesse, UNC3524 ha utilizzato una versione personalizzata di WMIEXEC, uno strumento che utilizza il toolkit di gestione di Windows per creare un pannello su un sistema remoto.

Infine, Quietexit raggiunge il suo obiettivo finale di accedere alla posta elettronica dei manager և personale IT.

“Quando UNC3524 ha acquisito con successo le credenziali privilegiate nell’ambiente di posta della vittima, ha iniziato a richiedere le API dei servizi Web Exchange (EWS) all’interno di Microsoft Exchange o nell’ambiente Microsoft 365 Exchange Online”, hanno scritto i ricercatori Mandiant. “In ogni ambiente vittima UNC3524, il giocatore delle minacce prenderà di mira il sottoinsieme delle cassette postali”.

Leave a Comment

Your email address will not be published.