С декабря 2019 года эксперты компании Mandiant фиксируют рост активности APT-групп (Advanced Persistent Threat), которые активно инвестируют в инструменты для массового сбора электронных писем из инфраструктуры жертв. Эти атаки связаны с целями промышленного и государственного шпионажа, поскольку почтовые сервисы содержат огромные объемы конфиденциальной информации. Злоумышленники используют встроенные возможности корпоративных почтовых систем, такие как eDiscovery и Graph API, для автоматизированного доступа к данным. Вместо того чтобы взламывать отдельные аккаунты, APT применяют те же легальные инструменты, которые администраторы используют для внутреннего аудита.
Описание
Одной из самых заметных групп, использующих подобные методы, стала UNC3524. После первоначального проникновения (способ которого пока неизвестен) злоумышленники развернули новый бэкдор под названием QUIETEXIT. Он основан на модифицированной версии Dropbear SSH с открытым исходным кодом, но с измененной логикой работы: клиент и сервер меняются местами. Вместо того чтобы подключаться к удалённому серверу, заражённая система сама становится SSH-сервером, ожидая команд от злоумышленников.
Особенностью QUIETEXIT является его установка на сетевые устройства, которые обычно не защищены антивирусами или системами EDR (Endpoint Detection and Response). Речь идёт о SAN-массивах, балансировщиках нагрузки и контроллерах Wi-Fi, работающих на устаревших версиях BSD или CentOS. Поскольку эти устройства считаются доверенными и редко проверяются, UNC3524 удавалось оставаться незамеченными в сетях жертв до 18 месяцев.
Бэкдор обладает механизмами маскировки: при запуске он пытается изменить своё имя на *cron* или сливается с легитимными системными файлами. Например, на одном из заражённых хранилищ данных злоумышленники назвали вредоносный файл так, чтобы он выглядел как часть скриптов монтирования файловых систем. Кроме того, QUIETEXIT поддерживает несколько способов подключения к серверам управления (C2), включая динамические DNS-домены, которые резолвятся на 127.0.0.1, когда сервер неактивен.
APT-группа также использует сложные методы обхода обнаружения. Например, домены C2 специально создавались так, чтобы их трафик выглядел как легитимный. В одном случае злоумышленники использовали названия, связанные с вендорами сетевого оборудования, что затрудняло анализ DNS-логов.
В качестве резервного канала связи UNC3524 применяла веб-оболочку REGEORG - SOCKS-прокси, размещаемую на компрометированных веб-серверах в DMZ. Важно отметить, что злоумышленники использовали не стандартную, а малоизвестную обфусцированную версию, что позволяло обходить сигнатурные методы защиты.
Эти атаки демонстрируют, насколько изощрёнными становятся методы APT-групп. Они не только используют уязвимости в защите, но и тщательно маскируют свою активность, имитируя легитимные процессы. Компаниям необходимо усилить мониторинг сетевых устройств, обновлять ПО и внедрять системы поведенческого анализа, чтобы вовремя обнаруживать подобные угрозы.
Индикаторы компрометации
Domains
- cloudns.asia
- dynu.net
- mywire.org
- webredirect.org
MD5
- ba22992ce835dadcd06bff4ab7b162f9
SHA1
- 3d4dcc859c6ca7e5b36483ad84c9ceef34973f9a
SHA256
- 7b5e3c1c06d82b3e7309C258dfbd4bfcd476c8ffcb4cebda76146145502a5997
