Ein bisher unbekannter Bedrohungsakteur zielt auf Telekommunikationsunternehmen im Nahen Osten in einer scheinbaren Cyberspionagekampagne ab, die vielen ähnlich ist, die in den letzten Jahren Telekommunikationsunternehmen in mehreren Ländern getroffen haben.
Forscher von SentinelOne, die die neue Kampagne entdeckten, sagten, dass sie sie als WIP26 verfolgen, eine Bezeichnung, die das Unternehmen für Aktivitäten verwendet, die es keiner bestimmten Cyberangriffsgruppe zuordnen konnte.
In einem Bericht dieser Woche stellten sie fest, dass dies der Fall war beobachtete WIP26 mit öffentlicher Cloud-Infrastruktur um Malware zu liefern und exfiltrierte Daten zu speichern, sowie für Command-and-Control-Zwecke (C2). Der Sicherheitsanbieter stellte fest, dass der Bedrohungsakteur – wie viele andere heutzutage – diese Taktik anwendet, um der Erkennung zu entgehen und seine Aktivitäten in kompromittierten Netzwerken schwerer zu erkennen.
„Die WIP26-Aktivität ist ein relevantes Beispiel dafür, dass Bedrohungsakteure ihre TTPs kontinuierlich erneuern [Taktiken, Techniken und Verfahren] in einem Versuch, heimlich zu bleiben und Abwehrmaßnahmen zu umgehen“, sagte das Unternehmen.
Gezielte Telekommunikationsangriffe im Nahen Osten
Die von SentinelOne beobachteten Angriffe begannen in der Regel mit WhatsApp-Nachrichten, die an bestimmte Personen innerhalb der betroffenen Telekommunikationsunternehmen im Nahen Osten gerichtet waren. Die Nachrichten enthielten einen Link zu einer Archivdatei in Dropbox, die angeblich Dokumente zu armutsbezogenen Themen enthielt, die für die Region relevant sind. Aber in Wirklichkeit enthielt es auch einen Malware-Loader.
Benutzer, die dazu verleitet wurden, auf den Link zu klicken, hatten am Ende zwei Backdoors auf ihren Geräten installiert. SentinelOne fand einen von ihnen, der als CMD365 verfolgt wird und einen Microsoft 365 Mail-Client als C2 verwendet, und die zweite Hintertür namens CMDEmber, die eine Google Firebase-Instanz für denselben Zweck verwendet.
Der Sicherheitsanbieter beschrieb WIP26 als Nutzung der Hintertüren, um Aufklärung durchzuführen, Berechtigungen zu erhöhen und zusätzliche Malware einzusetzen - und um die privaten Browserdaten des Benutzers, Informationen über hochwertige Systeme im Netzwerk des Opfers und andere Daten zu stehlen. SentinelOne hat festgestellt, dass viele der Daten, die beide Backdoors von Opfersystemen und Netzwerken gesammelt haben, darauf hindeuten, dass sich der Angreifer auf einen zukünftigen Angriff vorbereitet.
„Der anfängliche Angriffsvektor, den wir beobachtet haben, beinhaltete Präzisionszielen“, sagte SentinelOne. „Darüber hinaus deutet die gezielte Ausrichtung auf Telekommunikationsanbieter im Nahen Osten darauf hin, dass das Motiv hinter dieser Aktivität mit Spionage zusammenhängt.“
Telekommunikationsunternehmen sind weiterhin beliebte Spionageziele
WIP26 ist einer von vielen Bedrohungsakteuren, die in den letzten Jahren Telekommunikationsunternehmen ins Visier genommen haben. Einige der neueren Beispiele - wie eine Reihe von Angriffen auf australische Telekommunikationsunternehmen wie z Optus, Telstra und Dialog - finanziell motiviert waren. Sicherheitsexperten haben auf diese Angriffe als Zeichen hingewiesen verstärktes Interesse an Telekommunikationsunternehmen unter Cyberkriminellen, die Kundendaten stehlen oder mobile Geräte über sog SIM-Swapping-Schemata.
Häufiger waren Cyberspionage und Überwachung jedoch die Hauptmotive für Angriffe auf Telekommunikationsanbieter. Sicherheitsanbieter haben mehrere Kampagnen gemeldet, bei denen fortgeschrittene, hartnäckige Bedrohungsgruppen aus Ländern wie China, der Türkei und dem Iran in das Netzwerk eines Kommunikationsanbieters eingebrochen sind, um Einzelpersonen und Gruppen auszuspionieren, die für ihre jeweiligen Regierungen von Interesse sind.
Ein Beispiel ist Betrieb weiche Zelle, wo eine in China ansässige Gruppe in die Netzwerke großer Telekommunikationsunternehmen auf der ganzen Welt einbrach, um Anrufdatensätze zu stehlen, damit sie bestimmte Personen verfolgen konnten. In einer anderen Kampagne wurde ein Bedrohungsakteur als verfolgt Lichtbecken stahl Mobile Subscriber Identity (IMSI) und Metadaten aus den Netzwerken von 13 großen Netzbetreibern. Als Teil der Kampagne installierte der Bedrohungsakteur Malware in den Trägernetzen, die es ihm ermöglichte, Anrufe, Textnachrichten und Anrufaufzeichnungen von Zielpersonen abzufangen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Fähig
- Aktivität
- Akteure
- Zusatz
- advanced
- unter
- und
- Ein anderer
- Archiv
- um
- bewertet
- Attacke
- Anschläge
- australisch
- Hintertür-
- Backdoors
- begann
- hinter
- Pleite
- Gebrochen
- Browser
- rufen Sie uns an!
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- Träger
- China
- Auftraggeber
- Cloud
- Das Sammeln
- Kommunikation
- Unternehmen
- Unternehmen
- Kompromittiert
- Leiten
- fortsetzen
- ständig
- könnte
- Ländern
- Kunde
- Kundendaten
- Cyber Attacke
- Cyber-Angriffe
- Cyber-Kriminelle
- technische Daten
- Tage
- Übergeben
- einsetzen
- beschrieben
- Bezeichnung
- Entdeckung
- Geräte
- Unterlagen
- Dropbox
- synchronisiert
- Osten
- ELEVATE
- Spionage
- Beispiel
- Beispiele
- Experten
- Favorit
- wenige
- Reichen Sie das
- finanziell
- Firebase
- gefunden
- für
- weiter
- Zukunft
- Regierungen
- Gruppe an
- Gruppen
- mit
- entführen
- Hit
- HTTPS
- Identitätsschutz
- in
- inklusive
- hat
- Einzelpersonen
- Information
- Anfangs-
- innovativ
- installiert
- Instanz
- Interesse
- beteiligt
- Iran
- IT
- LINK
- Ladeprogramm
- suchen
- Los
- Dur
- um
- Malware
- viele
- Nachrichten
- Metadaten
- Microsoft
- Mitte
- Mittlerer Osten
- Mobil
- mobile Geräte
- mehr
- motiviert
- Motivationen
- mehrere
- Netzwerk
- Netzwerke
- Neu
- bekannt
- Roman
- EINEM
- Organisationen
- Andere
- Anders
- Teil
- passt
- Plato
- Datenintelligenz von Plato
- PlatoData
- Präzision
- vorher
- primär
- privat
- Privilegien
- Verfahren
- Versorger
- Anbieter
- Öffentlichkeit
- Public Cloud
- Zweck
- Zwecke
- Realität
- kürzlich
- Aufzeichnungen
- Region
- relevant
- berichten
- Berichtet
- diejenigen
- Said
- gleich
- Zweite
- Sicherheitdienst
- Modellreihe
- mehrere
- Schild
- ähnlich
- So
- SOFT
- einige
- spezifisch
- Spot
- bleiben
- Tisch
- speichern
- so
- Schlägt vor
- Überwachung
- Systeme und Techniken
- Taktik
- Target
- gezielt
- Targeting
- Ziele
- Techniken
- Telekom
- Telekommunikations
- Telekommunikation
- Telekom
- Das
- die Welt
- ihr
- diese Woche
- Bedrohung
- Bedrohungsakteure
- zu
- Themen
- verfolgen sind
- Tracking
- Türkei
- Mitglied
- gewöhnlich
- Verkäufer
- Anbieter
- Opfer
- Woche
- Was
- WHO
- .
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Jahr
- Zephyrnet