新黑客集团追踪专注于并购的企业员工

一位新发现的涉嫌间谍威胁行为人一直将目标锁定在专注于并购和大型企业交易的员工身上，以便于从受害者环境中收集大量电子邮件。

Mandiant正在跟踪未分类的名称UNC3524下的活动集群，理由是缺乏证据将其与现有群体联系起来。然而，一些入侵据说反映了不同的俄罗斯黑客（如APT28和APT29）所使用的技术。

威胁情报公司在周一的一份报告中表示：“高水平的操作安全性、低恶意软件足迹、熟练的规避技能以及大型物联网（IoT）设备僵尸网络安全使这一群体与众不同，并强调了高级持久威胁中的‘高级’。”。

最初的访问路径未知，但在获得立足点后，涉及UNC3524的攻击链最终部署了一种称为QUIETEXIT的新型后门，用于长达18个月的持久远程访问，在某些情况下不会被检测到。

此外，命令和控制域—；一个暴露于互联网的IP摄像头设备的僵尸网络，可能具有默认凭据—；设计用于与来自受感染端点的合法流量混合，这表明威胁行为人试图保持低调。

Mandiant研究人员指出：“UNC3524也非常重视持久性。”。“每次受害者环境删除其访问权限时，该组织都会立即用各种机制重新破坏环境，立即重新启动数据盗窃活动。”

威胁参与者还安装了一个二级植入物，即一个web外壳，作为一种替代访问方式，以使其停止运行，并在网络中的另一个系统上传播主后门。

信息收集任务在其最后阶段需要获得受害者邮件环境的特权凭证，并使用它来定位在公司开发中工作的执行团队的邮箱。

Mandiant说：“UNC3524的目标是不透明的网络设备，因为它们通常是受害者环境中最不安全、最不受监控的系统。”。“组织应采取措施清点网络上不支持监视工具的设备。”