【潛行攻擊】新晉APT集團持續滲透18個月 多重隱身術減低曝光風險
Mandiant 網絡安全研究員發現一個全新的 APT 黑客組織 UNC3524,根據他們的入侵行為,研究員相信這班黑客組織主要瞄準企業內部負責合併或收購的員工。研究員指出 UNC3524 的入侵技術相當高明,甚至可持續滲透在受害企業內部網絡 18 個月,而未被任何安全工具發現!
APT (Advanced Persistent Threat, 先進持續威脅) 不同於其他黑客集團,他們大多受國家資助,因此入侵的目的並非為錢 (雖然間中有 APT 集團會在入侵後順道執行勒索軟件),而是為國家收集機密情報。由於有政治目的,因此他們的入侵手法以隱密性為優先,以減少被網絡安全工具發現。UNC3524 的入侵行為,便正正符合這些特徵,但因為集團所採用的惡意軟件亦屬新發現,因此 Mandiant 研究員暫時仍未能找出他們背後的支持者或與其他 APT 集團的關連。
研究員解釋,UNC3524 的入侵手法主要有兩種:第一種是攻擊目標企業一些未有被安全監測的網絡設備,在設備上安裝 QUIETEXIT 木馬軟件;第二種手法則是在企業的 DMZ 隔離區網絡伺服器上部署 reGeorg web shell,建立一個隧道進入企業內部網絡。當以上述任何一個方法成功入侵,黑客便會嘗試取得企業電郵系統的存取權限,繼而透過 Exchange Web Services API 向在地 Microsoft Exchange 或雲端 Microsoft 365 Exchange 電郵服務要求讀取電郵。另外,黑客集團用於收集盜取資料的控制中心,實際上是由網絡上存在漏洞的 IP camera 建成,專家解釋一般網絡安全工具未必會懷疑這類網絡連線,令黑客可以成功外傳機密資料。
為進一步減少被發現的風險,黑客會專注竊取一小部分員工的電郵內容,而研究員發現這次被攻擊的員工,全部都是行政人員或有份參與合併及收購的業務。此外,研究員又說由於 UNC3524 攻擊的立足點都在網絡安全防護工具的監測邊緣,因此極難被發現,而事實亦證明了這個黑客集團相比起其他網絡入侵,能夠潛伏在受害企業內部網絡更長時間。
相關文章:【潛行諜戰】隱密9年首曝光 APT攻擊三招避偵測
https://www.wepro180.com/20201009_apt/
