Un actor de amenazas previamente desconocido está apuntando a las empresas de telecomunicaciones en el Medio Oriente en lo que parece ser una campaña de ciberespionaje similar a muchas que han afectado a las organizaciones de telecomunicaciones en varios países en los últimos años.
Los investigadores de SentinelOne que detectaron la nueva campaña dijeron que la están rastreando como WIP26, una designación que la compañía usa para actividades que no ha podido atribuir a ningún grupo específico de ataques cibernéticos.
En un informe de esta semana, señalaron que habían observó WIP26 usando infraestructura de nube pública para entregar malware y almacenar datos extraídos, así como para fines de comando y control (C2). El proveedor de seguridad evaluó que el actor de amenazas está usando la táctica, como muchos otros lo hacen en estos días, para evadir la detección y hacer que su actividad sea más difícil de detectar en las redes comprometidas.
“La actividad WIP26 es un ejemplo relevante de actores de amenazas que innovan continuamente sus TTP. [tácticas, técnicas y procedimientos] en un intento de mantenerse sigiloso y eludir las defensas”, dijo la compañía.
Ataques de telecomunicaciones dirigidos en Medio Oriente
Los ataques que observó SentinelOne generalmente comenzaron con mensajes de WhatsApp dirigidos a personas específicas dentro de las empresas de telecomunicaciones objetivo en el Medio Oriente. Los mensajes contenían un enlace a un archivo de Dropbox que pretendía contener documentos sobre temas relacionados con la pobreza pertinentes a la región. Pero en realidad, también incluía un cargador de malware.
Los usuarios engañados para que hicieran clic en el enlace terminaron teniendo dos puertas traseras instaladas en sus dispositivos. SentinelOne encontró uno de ellos, rastreado como CMD365, usando un cliente de Microsoft 365 Mail como su C2, y la segunda puerta trasera, denominada CMDEmber, usando una instancia de Google Firebase para el mismo propósito.
El proveedor de seguridad describió que WIP26 usa puertas traseras para realizar reconocimientos, elevar privilegios, implementar malware adicional - y para robar los datos privados del navegador del usuario, información sobre sistemas de alto valor en la red de la víctima y otros datos. SentinelOne evaluó que muchos de los datos que ambas puertas traseras han recopilado de los sistemas y la red de la víctima sugieren que el atacante se está preparando para un ataque futuro.
“El vector de intrusión inicial que observamos involucraba objetivos de precisión”, dijo SentinelOne. “Además, la orientación de los proveedores de telecomunicaciones en el Medio Oriente sugiere que el motivo detrás de esta actividad está relacionado con el espionaje”.
Las empresas de telecomunicaciones siguen siendo los objetivos favoritos del espionaje
WIP26 es uno de los muchos actores de amenazas que se han dirigido a las empresas de telecomunicaciones en los últimos años. Algunos de los ejemplos más recientes - como una serie de ataques contra empresas de telecomunicaciones australianas como Optus, Telstray Diálogo - estaban motivados económicamente. Los expertos en seguridad han señalado esos ataques como una señal de mayor interés en las empresas de telecomunicaciones entre los ciberdelincuentes que buscan robar datos de clientes o secuestrar dispositivos móviles a través de los llamados Esquemas de intercambio de SIM.
Sin embargo, más a menudo, el ciberespionaje y la vigilancia han sido las principales motivaciones de los ataques a los proveedores de telecomunicaciones. Los proveedores de seguridad han informado de varias campañas en las que grupos de amenazas persistentes avanzados de países como China, Turquía e Irán han irrumpido en la red de un proveedor de comunicaciones para poder espiar a personas y grupos de interés para sus respectivos gobiernos.
Un ejemplo es Operación Soft Cell, donde un grupo con sede en China irrumpió en las redes de las principales empresas de telecomunicaciones de todo el mundo para robar registros de datos de llamadas para poder rastrear a personas específicas. En otra campaña, un actor de amenazas rastreado como Cuenca de luz robó la identidad del suscriptor móvil (IMSI) y los metadatos de las redes de 13 de los principales operadores. Como parte de la campaña, el actor de amenazas instaló malware en las redes de los operadores que le permitieron interceptar llamadas, mensajes de texto y registros de llamadas de personas objetivo.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Poder
- actividad
- los actores
- adición
- avanzado
- entre
- y
- Otra
- Archive
- en torno a
- evaluado
- atacar
- ataques
- Australiano
- puerta trasera
- Puertas traseras
- comenzó
- detrás de
- Rompió
- Roto
- cada navegador
- llamar al
- Calls
- Campaña
- Campañas
- portadores
- China
- cliente
- Soluciones
- El cobro
- Comunicación
- Empresas
- compañía
- Comprometida
- Conducir
- continue
- continuamente
- podría
- países
- cliente
- datos de los clientes
- Ataque cibernetico
- Ataques ciberneticos
- ciberdelincuentes
- datos
- Días
- entregamos
- desplegar
- descrito
- designación
- Detección
- Dispositivos
- documentos
- Dropbox
- doblado
- Este
- ELEVATE
- espionaje
- ejemplo
- ejemplos
- expertos
- Favoritos
- pocos
- Archive
- financialmente
- Base de fuego
- encontrado
- Desde
- promover
- futuras
- Gobiernos
- Grupo procesos
- Grupo
- es
- secuestrar
- Golpear
- HTTPS
- Identidad
- in
- incluido
- aumentado
- individuos
- información
- inicial
- innovando
- instalado
- ejemplo
- intereses
- involucra
- Irán
- IT
- LINK
- cargador
- mirando
- Lote
- gran
- para lograr
- el malware
- muchos
- la vida
- metadatos
- Microsoft
- Ed. Media
- Oriente Medio
- Móvil
- dispositivos móviles
- más,
- motivado
- motivaciones
- múltiples
- del sistema,
- telecomunicaciones
- Nuevo
- señaló
- novela
- ONE
- para las fiestas.
- Otro
- Otros
- parte
- pasado
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Precisión
- previamente
- primario
- privada
- privilegios
- procedimientos
- proveedor
- los proveedores
- público
- nube pública
- propósito
- fines
- Realidad
- reciente
- archivos
- región
- reporte
- reportado
- aquellos
- Said
- mismo
- Segundo
- EN LINEA
- Serie
- Varios
- firmar
- similares
- So
- Soft
- algo
- soluciones y
- Spot
- quedarse
- estola
- tienda
- tal
- Sugiere
- vigilancia
- Todas las funciones a su disposición
- táctica
- Target
- afectados
- orientación
- tiene como objetivo
- técnicas
- telecom
- telecomunicación
- telecomunicaciones
- telecomunicaciones
- La
- el mundo
- su
- esta semana
- amenaza
- actores de amenaza
- a
- Temas
- seguir
- Seguimiento
- Turquía
- Usuario
- generalmente
- vendedor
- vendedores
- vía
- Víctima
- semana
- ¿
- QUIENES
- dentro de
- mundo
- años
- zephyrnet