En tidligere ukjent trusselaktør retter seg mot telekommunikasjonsselskaper i Midtøsten i det som ser ut til å være en cyberspionasjekampanje som ligner på mange som har rammet telekomorganisasjoner i flere land de siste årene.
Forskere fra SentinelOne som så den nye kampanjen sa at de sporer den som WIP26, en betegnelse selskapet bruker for aktivitet det ikke har vært i stand til å tilskrive noen spesifikk nettangrepsgruppe.
I en rapport denne uken bemerket de at de hadde observert WIP26 ved bruk av offentlig skyinfrastruktur å levere skadevare og lagre eksfiltrerte data, samt for kommando-og-kontroll (C2) formål. Sikkerhetsleverandøren vurderte at trusselaktøren bruker taktikken – som mange andre gjør i disse dager – for å unngå oppdagelse og gjøre aktiviteten vanskeligere å oppdage på kompromitterte nettverk.
«WIP26-aktiviteten er et relevant eksempel på trusselaktører som kontinuerlig innoverer sine TTP-er [taktikker, teknikker og prosedyrer] i et forsøk på å holde seg snikende og omgå forsvar," sa selskapet.
Målrettede Mideast Telecom-angrep
Angrepene som SentinelOne observerte begynte vanligvis med WhatsApp-meldinger rettet mot spesifikke individer innenfor måltelekomselskaper i Midtøsten. Meldingene inneholdt en lenke til en arkivfil i Dropbox som påsto å inneholde dokumenter om fattigdomsrelaterte emner som er relevante for regionen. Men i virkeligheten inkluderte den også en malware-laster.
Brukere som ble lurt til å klikke på lenken, endte opp med å ha to bakdører installert på enhetene sine. SentinelOne fant en av dem, sporet som CMD365, ved å bruke en Microsoft 365 Mail-klient som C2, og den andre bakdøren, kalt CMDEmber, ved å bruke en Google Firebase-forekomst til samme formål.
Sikkerhetsleverandøren beskrev WIP26 som å bruke bakdørene til å utføre rekognosering, heve privilegier, distribuere tilleggsskadelig programvare - og å stjele brukerens private nettleserdata, informasjon om høyverdisystemer på offerets nettverk og andre data. SentinelOne vurderte at mye av dataene som begge bakdørene har samlet inn fra offersystemer og nettverk tyder på at angriperen forbereder seg på et fremtidig angrep.
"Den første inntrengningsvektoren vi observerte involverte presisjonsmålretting," sa SentinelOne. "Ytterligere antyder målrettingen av telekommunikasjonsleverandører i Midtøsten at motivet bak denne aktiviteten er spionasjerelatert."
Telekomselskaper fortsetter å være favorittspionasjemål
WIP26 er en av mange trusselaktører som har rettet seg mot telekomselskaper de siste årene. Noen av de nyere eksemplene - som en rekke angrep på australske telekomselskaper som f.eks Optus, Telestraog Dialog - var økonomisk motivert. Sikkerhetseksperter har pekt på disse angrepene som et tegn av økt interesse for telekomselskaper blant nettkriminelle som ønsker å stjele kundedata, eller å kapre mobile enheter via såkalte SIM-bytteordninger.
Oftere har imidlertid nettspionasje og overvåking vært primære motivasjoner for angrep på telekommunikasjonsleverandører. Sikkerhetsleverandører har rapportert om flere kampanjer der avanserte vedvarende trusselgrupper fra land som Kina, Tyrkia og Iran har brutt seg inn i en kommunikasjonsleverandørs nettverk slik at de kan spionere på enkeltpersoner og grupper av interesse for deres respektive myndigheter.
Et eksempel er Operasjon Soft Cell, der en Kina-basert gruppe brøt seg inn i nettverkene til store telekommunikasjonsselskaper rundt om i verden for å stjele samtaledata slik at de kunne spore spesifikke individer. I en annen kampanje sporet en trusselaktør som Lett basseng stjal Mobile Subscriber Identity (IMSI) og metadata fra nettverkene til 13 store operatører. Som en del av kampanjen installerte trusselaktøren skadelig programvare på operatørnettverkene som gjorde at den kunne avlytte anrop, tekstmeldinger og anropsregistreringer til målrettede individer.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- I stand
- aktivitet
- aktører
- tillegg
- avansert
- blant
- og
- En annen
- Arkiv
- rundt
- vurderes
- angripe
- Angrep
- Australian
- backdoor
- Bakdører
- begynte
- bak
- Broke
- Brutt
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- ring
- Samtaler
- Kampanje
- Kampanjer
- bærere
- Kina
- kunde
- Cloud
- Samle
- Kommunikasjon
- Selskaper
- Selskapet
- kompromittert
- Gjennomføre
- fortsette
- kontinuerlig
- kunne
- land
- kunde
- kunde Data
- Cyber angrep
- cyberattacks
- nettkriminelle
- dato
- Dager
- leverer
- utplassere
- beskrevet
- betegnelse
- Gjenkjenning
- Enheter
- dokumenter
- dropbox
- dubbet
- øst
- Hev
- spionasje
- eksempel
- eksempler
- eksperter
- Favoritt
- Noen få
- filet
- økonomisk
- Fire
- funnet
- fra
- videre
- framtid
- regjeringer
- Gruppe
- Gruppens
- å ha
- kapre
- hit
- HTTPS
- Identitet
- in
- inkludert
- økt
- individer
- informasjon
- innledende
- nyskapende
- installerte
- f.eks
- interesse
- involvert
- Iran
- IT
- LINK
- loader
- ser
- Lot
- større
- gjøre
- malware
- mange
- meldinger
- metadata
- Microsoft
- Middle
- Midtøsten
- Mobil
- håndholdte enheter
- mer
- motivert
- motivasjon
- flere
- nettverk
- nettverk
- Ny
- bemerket
- roman
- ONE
- organisasjoner
- Annen
- andre
- del
- Past
- plato
- Platon Data Intelligence
- PlatonData
- Precision
- tidligere
- primære
- privat
- privilegier
- prosedyrer
- leverandør
- tilbydere
- offentlig
- Offentlig sky
- formål
- formål
- Reality
- nylig
- poster
- region
- relevant
- rapporterer
- rapportert
- de
- Sa
- samme
- Sekund
- sikkerhet
- Serien
- flere
- undertegne
- lignende
- So
- Soft
- noen
- spesifikk
- Spot
- opphold
- stjal
- oppbevare
- slik
- foreslår
- overvåking
- Systemer
- taktikk
- Target
- målrettet
- rettet mot
- mål
- teknikker
- telekom
- telekommunikasjon
- telekommunikasjon
- telekom
- De
- verden
- deres
- denne uka
- trussel
- trusselaktører
- til
- temaer
- spor
- Sporing
- Kalkun
- Bruker
- vanligvis
- leverandør
- leverandører
- av
- Offer
- uke
- Hva
- HVEM
- innenfor
- verden
- år
- zephyrnet