En hidtil ukendt trusselsaktør retter sig mod teleselskaber i Mellemøsten i, hvad der ser ud til at være en cyberspionagekampagne svarende til mange, der har ramt teleselskaber i flere lande i de seneste år.
Forskere fra SentinelOne, der så den nye kampagne, sagde, at de sporer den som WIP26, en betegnelse, som virksomheden bruger for aktivitet, den ikke har været i stand til at tilskrive nogen specifik cyberangrebsgruppe.
I en rapport i denne uge bemærkede de, at de havde observeret WIP26 ved hjælp af offentlig cloud-infrastruktur at levere malware og gemme eksfiltrerede data, samt til kommando-og-kontrol (C2) formål. Sikkerhedsleverandøren vurderede, at trusselsaktøren bruger taktikken - som mange andre gør i disse dage - til at undgå opdagelse og gøre dens aktivitet sværere at få øje på på kompromitterede netværk.
"WIP26-aktiviteten er et relevant eksempel på trusselsaktører, der løbende innoverer deres TTP'er [taktik, teknikker og procedurer] i et forsøg på at forblive snigende og omgå forsvar,” sagde virksomheden.
Målrettede Mideast Telecom-angreb
De angreb, som SentinelOne observerede, begyndte normalt med WhatsApp-beskeder rettet mod specifikke personer inden for målteleselskaber i Mellemøsten. Beskederne indeholdt et link til en arkivfil i Dropbox, der foregav at indeholde dokumenter om fattigdomsrelaterede emner, der er relevante for regionen. Men i virkeligheden inkluderede den også en malware-indlæser.
Brugere, der blev narret til at klikke på linket, endte med at have to bagdøre installeret på deres enheder. SentinelOne fandt en af dem, sporet som CMD365, ved at bruge en Microsoft 365 Mail-klient som sin C2, og den anden bagdør, kaldet CMDEmber, ved at bruge en Google Firebase-instans til samme formål.
Sikkerhedsleverandøren beskrev WIP26 som at bruge bagdørene til at udføre rekognoscering, hæve privilegier, implementere yderligere malware — og at stjæle brugerens private browserdata, information om højværdisystemer på ofrets netværk og andre data. SentinelOne vurderede, at mange af de data, som begge bagdøre har indsamlet fra offersystemer og netværk, tyder på, at angriberen forbereder sig på et fremtidigt angreb.
"Den indledende indtrængningsvektor, vi observerede, involverede præcisionsmålretning," sagde SentinelOne. "Yderligere antyder målretningen mod telekommunikationsudbydere i Mellemøsten, at motivet bag denne aktivitet er spionagerelateret."
Teleselskaber bliver ved med at være foretrukne spionagemål
WIP26 er en af mange trusselsaktører, der har rettet sig mod teleselskaber i løbet af de sidste par år. Nogle af de nyere eksempler — som en række angreb på australske teleselskaber som f.eks Optus, Telestraog dialog — var økonomisk motiverede. Sikkerhedseksperter har peget på disse angreb som et tegn af øget interesse for teleselskaber blandt cyberkriminelle, der ønsker at stjæle kundedata, eller at kapre mobile enheder via såkaldte SIM-bytteordninger.
Men oftere har cyberspionage og overvågning været primære motiver for angreb på teleudbydere. Sikkerhedsleverandører har rapporteret om flere kampagner, hvor avancerede vedvarende trusselsgrupper fra lande som Kina, Tyrkiet og Iran er brudt ind i en kommunikationsudbyders netværk, så de kunne spionere på enkeltpersoner og grupper af interesse for deres respektive regeringer.
Et eksempel er Operation Soft Cell, hvor en Kina-baseret gruppe brød ind i netværk af store teleselskaber rundt om i verden for at stjæle opkaldsdata, så de kunne spore specifikke personer. I en anden kampagne sporede en trusselsaktør som Let bassin stjal Mobile Subscriber Identity (IMSI) og metadata fra 13 store operatørers netværk. Som en del af kampagnen installerede trusselsaktøren malware på operatørens netværk, som gjorde det muligt for den at opsnappe opkald, tekstbeskeder og opkaldsregistreringer fra målrettede personer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- I stand
- aktivitet
- aktører
- Desuden
- fremskreden
- blandt
- ,
- En anden
- Arkiv
- omkring
- vurderes
- angribe
- Angreb
- australsk
- bagdør
- Bagdøre
- begyndte
- bag
- Broke
- Broken
- browser
- ringe
- Opkald
- Kampagne
- Kampagner
- luftfartsselskaber
- Kina
- kunde
- Cloud
- Indsamling
- Kommunikation
- Virksomheder
- selskab
- Kompromitteret
- Adfærd
- fortsæt
- kontinuerligt
- kunne
- lande
- kunde
- kundedata
- Cyber angreb
- cyberangreb
- cyberkriminelle
- data
- Dage
- levere
- indsætte
- beskrevet
- udpegning
- Detektion
- Enheder
- dokumenter
- Dropbox
- døbt
- Øst
- OPHØJE
- spionage
- eksempel
- eksempler
- eksperter
- Favorit
- få
- File (Felt)
- økonomisk
- Firebase
- fundet
- fra
- yderligere
- fremtiden
- regeringer
- gruppe
- Gruppens
- have
- hijack
- Hit
- HTTPS
- Identity
- in
- medtaget
- øget
- enkeltpersoner
- oplysninger
- initial
- fornyelse
- installeret
- instans
- interesse
- involverede
- Iran
- IT
- LINK
- loader
- leder
- Lot
- større
- lave
- malware
- mange
- beskeder
- Metadata
- microsoft
- Mellemøsten
- Middle East
- Mobil
- mobilenheder
- mere
- motiveret
- motivationer
- flere
- netværk
- net
- Ny
- bemærkede
- roman
- ONE
- organisationer
- Andet
- Andre
- del
- forbi
- plato
- Platon Data Intelligence
- PlatoData
- Precision
- tidligere
- primære
- private
- privilegier
- procedurer
- udbyder
- udbydere
- offentlige
- Offentlig sky
- formål
- formål
- Reality
- nylige
- optegnelser
- region
- relevant
- indberette
- rapporteret
- dem
- Said
- samme
- Anden
- sikkerhed
- Series
- flere
- underskrive
- lignende
- So
- Soft
- nogle
- specifikke
- Spot
- forblive
- Stole
- butik
- sådan
- foreslår
- overvågning
- Systemer
- taktik
- mål
- målrettet
- rettet mod
- mål
- teknikker
- telecom
- telekommunikation
- telekommunikation
- telekommunikation
- verdenen
- deres
- denne uge
- trussel
- trusselsaktører
- til
- Emner
- spor
- Sporing
- Tyrkiet
- Bruger
- sædvanligvis
- sælger
- leverandører
- via
- Victim
- uge
- Hvad
- WHO
- inden for
- world
- år
- zephyrnet