Egy korábban ismeretlen fenyegetettség szereplő a közel-keleti távközlési cégeket célozza meg egy olyan kiberkémkedési kampányban, amely hasonló sok olyan kampányhoz, amely az elmúlt években több országban sújtotta távközlési szervezeteket.
A SentinelOne kutatói, akik észrevették az új kampányt, azt mondták, hogy WIP26-ként követik nyomon, egy olyan elnevezést, amelyet a vállalat olyan tevékenységre használ, amelyet nem tudott egyetlen kibertámadási csoporthoz sem tulajdonítani.
Egy e heti jelentésben megjegyezték, hogy igen megfigyelte a WIP26-ot nyilvános felhő-infrastruktúra segítségével rosszindulatú programok szállítására és kiszűrt adatok tárolására, valamint parancs- és irányítási (C2) célokra. A biztonsági szállító úgy értékelte, hogy a fenyegetettség szereplője – ahogyan manapság sokan mások – azt a taktikát alkalmazza, hogy elkerülje az észlelést, és megnehezítse tevékenységét a feltört hálózatokon.
„A WIP26 tevékenység releváns példája annak, hogy a fenyegetés szereplői folyamatosan megújítják TTP-jüket [taktika, technikák és eljárások] annak érdekében, hogy lopakodjanak és megkerüljék a védelmet” – mondta a cég.
Célzott közel-keleti távközlési támadások
A SentinelOne által megfigyelt támadások általában WhatsApp-üzenetekkel kezdődtek, amelyeket a közel-keleti céltávközlési vállalatokon belül meghatározott személyeknek címeztek. Az üzenetek egy Dropboxban található archív fájlra mutató hivatkozást tartalmaztak, amely állítólag a régióra vonatkozó, szegénységgel kapcsolatos témákról szóló dokumentumokat tartalmazott. A valóságban azonban tartalmazott egy rosszindulatú programbetöltőt is.
Azok a felhasználók, akiket csalva rákattintottak a linkre, két hátsó ajtót telepítettek eszközeikre. A SentinelOne megtalálta az egyiket, CMD365-ként követve, és egy Microsoft 365 Mail klienst használ C2-ként, a második, CMDEmber névre keresztelt hátsó ajtót pedig egy Google Firebase-példány használatával ugyanerre a célra.
A biztonsági szállító a WIP26-ot úgy írta le, hogy a hátsó ajtókat használja felderítésre, jogosultságok növelésére és rosszindulatú programok telepítésére. - valamint ellopni a felhasználó privát böngészőadatait, az áldozat hálózatán található nagy értékű rendszerekkel kapcsolatos információkat és egyéb adatokat. A SentinelOne úgy értékelte, hogy sok adat, amelyet mindkét hátsó ajtó gyűjtött az áldozatrendszerekből és a hálózatból, arra utal, hogy a támadó egy jövőbeli támadásra készül.
"Az általunk megfigyelt kezdeti behatolási vektor precíziós célzást tartalmazott" - mondta SentinelOne. "Továbbá a közel-keleti távközlési szolgáltatók megcélzása arra utal, hogy ennek a tevékenységnek az indítéka kémkedéssel kapcsolatos."
A távközlési vállalatok továbbra is a kedvenc kémcélpontok
A WIP26 egyike annak a számos fenyegetésnek, amely az elmúlt néhány évben a távközlési vállalatokat célozta meg. Néhány újabb példa - mint az ausztrál távközlési cégek elleni támadássorozat, mint pl Optus, Telestraés párbeszéd - anyagilag motiváltak voltak. Biztonsági szakértők a támadásokat jelként jelölték meg megnövekedett érdeklődés a távközlési vállalatok iránt a kiberbűnözők körében, akik ügyféladatokat akarnak ellopni, vagy mobileszközöket akarnak eltéríteni ún SIM-csere sémák.
Gyakrabban azonban a kiberkémkedés és a megfigyelés volt a távközlési szolgáltatók elleni támadások elsődleges motivációja. A biztonsági szolgáltatók számos kampányról számoltak be, amelyek során fejlett, állandó fenyegetési csoportok olyan országokból, mint Kína, Törökország és Irán betörtek egy kommunikációs szolgáltató hálózatába, hogy kémkedhessenek a kormányaik számára érdekelt egyének és csoportok után.
Egy példa Művelet Soft Cell, ahol egy kínai székhelyű csoport betört a világ nagy távközlési vállalatainak hálózatába, hogy hívásadatokat lopjon el, hogy nyomon tudjanak követni bizonyos személyeket. Egy másik kampányban egy fenyegetőző szereplőt követett nyomon Könnyű medence ellopta a Mobile Subscriber Identity-t (IMSI) és a metaadatokat 13 nagyobb szolgáltató hálózatából. A kampány részeként a fenyegetőző rosszindulatú programokat telepített a szolgáltatói hálózatokra, amelyek lehetővé tették a célzott személyek hívásainak, szöveges üzeneteinek és hívási rekordjainak lehallgatását.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Képes
- tevékenység
- szereplők
- mellett
- fejlett
- között
- és a
- Másik
- Archív
- körül
- értékelni
- támadás
- Támadások
- ausztrál
- hátsó ajtó
- Hátsóajtó
- kezdődött
- mögött
- Törött
- Törött
- böngésző
- hívás
- kéri
- Kampány
- Kampányok
- hordozók
- Kína
- vásárló
- felhő
- Gyűjtő
- közlés
- Companies
- vállalat
- Veszélyeztetett
- Magatartás
- folytatódik
- folyamatosan
- tudott
- országok
- vevő
- ügyféladatok
- cyberattack
- cyberattacks
- kiberbűnözők
- dátum
- Nap
- szállít
- telepíteni
- leírt
- kijelölés
- Érzékelés
- Eszközök
- dokumentumok
- dropbox
- szinkronizált
- Keleti
- ELEMELNI
- kémkedés
- példa
- példák
- szakértők
- Kedvenc
- kevés
- filé
- pénzügyileg
- Firebase
- talált
- ból ből
- további
- jövő
- A kormányok
- Csoport
- Csoportok
- tekintettel
- eltérít
- Találat
- HTTPS
- Identitás
- in
- beleértve
- <p></p>
- egyének
- információ
- kezdetben
- újító
- telepítve
- példa
- kamat
- részt
- Irán
- IT
- LINK
- rakodó
- keres
- Sok
- fontos
- csinál
- malware
- sok
- üzenetek
- Metaadatok
- microsoft
- Középső
- Közel-Kelet
- Mobil
- mobil eszközök
- több
- motivált
- motivációk
- többszörös
- hálózat
- hálózatok
- Új
- neves
- regény
- ONE
- szervezetek
- Más
- Egyéb
- rész
- múlt
- Plató
- Platón adatintelligencia
- PlatoData
- Pontosság
- korábban
- elsődleges
- magán
- kiváltságok
- eljárások
- ellátó
- szolgáltatók
- nyilvános
- Nyilvános felhő
- cél
- célokra
- Valóság
- új
- nyilvántartások
- vidék
- jelentést
- Számolt
- azok
- Mondott
- azonos
- Második
- biztonság
- Series of
- számos
- <p></p>
- hasonló
- So
- Puha
- néhány
- különleges
- Spot
- tartózkodás
- stóla
- tárolni
- ilyen
- javasolja,
- felügyelet
- Systems
- taktika
- cél
- célzott
- célzás
- célok
- technikák
- távközlési
- távközlés
- távközlés
- távközlési
- A
- a világ
- azok
- ezen a héten
- fenyegetés
- fenyegetés szereplői
- nak nek
- Témakörök
- vágány
- Csomagkövetés
- Törökország
- használó
- rendszerint
- eladó
- gyártók
- keresztül
- Áldozat
- hét
- Mit
- WHO
- belül
- világ
- év
- zephyrnet