Mandiant: UNC3524
A Mandiant kutatói azonosítottak egy szokatlanul lopakodó Advanced Persistent Threat (APT) csoport, amely feltöri a vállalati hálózattokat, hogy ellopja az szervezeti e-maileket. Az UNC3524-ként nyomon követett csoport, fejlett képességeivel – egyes esetekben – több mint 18 hónapig hozzáfért az áldozatai hálózatához.
A hozzáférés megszerzése és a hátsó ajtók telepítése után az UNC3524 magas jogosultságú hitelesítési adatokat szerzett áldozataik levelezőrendszerében és az Exchange Web Services (EWS) API kérésein keresztül megkezdte a Microsoft Exchange vagy Microsoft 365 Exchange Online postafiókok kihasználását.
Többnyire ellopják az összes olyan e-mailt, amelyet a szervezet ismert vezetői kapnak egy adott dátumtartományon belül, ahelyett, hogy kiválasztanák az érdeklődésre számot tartó e-maileket, vagy bármilyen szószűrést alkalmaznának. Ezt a taktikát alkalmazzák Oroszország által támogatott Cozy Bear/APT29 csoportok.