Nieznany wcześniej ugrupowanie cyberprzestępcze bierze na cel firmy telekomunikacyjne na Bliskim Wschodzie w ramach czegoś, co wydaje się być kampanią cyberszpiegowską podobną do wielu, które w ostatnich latach uderzyły w organizacje telekomunikacyjne w wielu krajach.
Badacze z SentinelOne, którzy zauważyli nową kampanię, powiedzieli, że śledzą ją jako WIP26, oznaczenie, którego firma używa do aktywności, której nie była w stanie przypisać żadnej konkretnej grupie cyberataków.
W raporcie z tego tygodnia zauważyli, że tak zaobserwowano WIP26 przy użyciu infrastruktury chmury publicznej w celu dostarczania złośliwego oprogramowania i przechowywania eksfiltrowanych danych, a także do celów dowodzenia i kontroli (C2). Dostawca zabezpieczeń ocenił, że cyberprzestępca stosuje tę taktykę — podobnie jak wielu innych w dzisiejszych czasach — aby uniknąć wykrycia i utrudnić wykrycie swojej aktywności w zaatakowanych sieciach.
„Działanie WIP26 jest odpowiednim przykładem cyberprzestępców nieustannie wprowadzających innowacje w swoich TTP [taktyki, techniki i procedury] w celu pozostania w ukryciu i obejścia zabezpieczeń” – podała firma.
Ukierunkowane ataki telekomunikacyjne z Bliskiego Wschodu
Ataki obserwowane przez SentinelOne zwykle rozpoczynały się od wiadomości WhatsApp skierowanych do konkretnych osób w docelowych firmach telekomunikacyjnych na Bliskim Wschodzie. Wiadomości zawierały łącze do pliku archiwum w Dropbox, który rzekomo zawierał dokumenty na tematy związane z ubóstwem w regionie. Ale w rzeczywistości zawierał również program ładujący złośliwe oprogramowanie.
Użytkownicy nakłonieni do kliknięcia łącza kończyli instalacją dwóch backdoorów na swoich urządzeniach. SentinelOne znalazł jeden z nich, śledzony jako CMD365, wykorzystujący klienta Microsoft 365 Mail jako C2, a drugi backdoor, nazwany CMDEmber, wykorzystujący w tym samym celu instancję Google Firebase.
Dostawca zabezpieczeń opisał WIP26 jako wykorzystujące backdoory do przeprowadzania rekonesansu, podnoszenia uprawnień, wdrażania dodatkowego złośliwego oprogramowania - oraz do kradzieży prywatnych danych przeglądarki użytkownika, informacji o systemach o dużej wartości w sieci ofiary oraz innych danych. SentinelOne ocenił, że wiele danych gromadzonych przez oba backdoory z systemów i sieci ofiar sugeruje, że atakujący przygotowuje się do przyszłego ataku.
„Początkowy wektor wtargnięcia, który zaobserwowaliśmy, obejmował precyzyjne celowanie” — powiedział SentinelOne. „Ponadto atak na dostawców usług telekomunikacyjnych na Bliskim Wschodzie sugeruje, że motywem tej działalności jest szpiegostwo”.
Firmy telekomunikacyjne nadal są ulubionymi celami szpiegowskimi
WIP26 jest jednym z wielu ugrupowań cyberprzestępczych, które w ciągu ostatnich kilku lat atakowały firmy telekomunikacyjne. Kilka nowszych przykładów - jak seria ataków na australijskie firmy telekomunikacyjne, takie jak Optus, Telestry, dialog - były motywowane finansowo. Eksperci ds. bezpieczeństwa wskazali te ataki jako znak wzrosło zainteresowanie firmami telekomunikacyjnymi wśród cyberprzestępców chcących wykraść dane klientów lub przejąć kontrolę nad urządzeniami mobilnymi za pośrednictwem tzw Schematy wymiany kart SIM.
Częściej jednak cyberszpiegostwo i inwigilacja były głównymi motywami ataków na dostawców usług telekomunikacyjnych. Dostawcy zabezpieczeń zgłosili kilka kampanii, w których ugrupowania zaawansowanych, uporczywych zagrożeń z krajów takich jak Chiny, Turcja i Iran włamały się do sieci dostawcy usług komunikacyjnych, aby móc szpiegować osoby i grupy będące przedmiotem zainteresowania ich rządów.
Jednym z przykładów jest Operacja Soft Cell, gdzie grupa z Chin włamała się do sieci głównych firm telekomunikacyjnych na całym świecie, aby ukraść zapisy danych połączeń, aby móc śledzić określone osoby. W innej kampanii cyberprzestępca wyśledzony jako Lekki basen ukradł Mobile Subscriber Identity (IMSI) i metadane z sieci 13 głównych operatorów. W ramach kampanii ugrupowanie cyberprzestępcze instalowało w sieciach operatorów złośliwe oprogramowanie, które umożliwiało przechwytywanie połączeń, wiadomości tekstowych i rejestrów połączeń atakowanych osób.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Zdolny
- działalność
- aktorzy
- dodatek
- zaawansowany
- wśród
- i
- Inne
- Archiwum
- na około
- oceniać
- atakować
- Ataki
- australijski
- tylne drzwi
- Backdoory
- rozpoczął
- za
- Zepsuł się
- Złamany
- przeglądarka
- wezwanie
- Połączenia
- Kampania
- Kampanie
- przewoźnicy
- Chiny
- klient
- Chmura
- Zbieranie
- Komunikacja
- Firmy
- sukcesy firma
- Zagrożone
- Prowadzenie
- kontynuować
- bez przerwy
- mógłby
- kraje
- klient
- dane klienta
- Cyber atak
- cyberataki
- cyberprzestępcy
- dane
- Dni
- dostarczyć
- rozwijać
- opisane
- Przeznaczenie
- Wykrywanie
- urządzenia
- dokumenty
- Dropbox
- dubbingowane
- Wschód
- ELEWACJA
- szpiegostwo
- przykład
- przykłady
- eksperci
- Moja lista
- kilka
- filet
- materialnie
- Ognisko
- znaleziono
- od
- dalej
- przyszłość
- Rządy
- Zarządzanie
- Grupy
- mający
- uprowadzać
- Dobranie (Hit)
- HTTPS
- tożsamość
- in
- włączony
- wzrosła
- osób
- Informacja
- początkowy
- innowacyjne
- zainstalowany
- przykład
- odsetki
- zaangażowany
- Iran
- IT
- LINK
- ładowarka
- poszukuje
- Partia
- poważny
- robić
- malware
- wiele
- wiadomości
- Metadane
- Microsoft
- Środkowy
- Bliski Wschód
- Aplikacje mobilne
- urządzenia mobilne
- jeszcze
- zmotywowani
- motywacje
- wielokrotność
- sieć
- sieci
- Nowości
- zauważyć
- powieść
- ONE
- organizacji
- Inne
- Pozostałe
- część
- Przeszłość
- plato
- Analiza danych Platona
- PlatoDane
- Detaliczność
- poprzednio
- pierwotny
- prywatny
- przywileje
- procedury
- dostawca
- dostawców
- publiczny
- Chmura publiczna
- cel
- cele
- Rzeczywistość
- niedawny
- dokumentacja
- region
- raport
- Zgłoszone
- osób
- Powiedział
- taki sam
- druga
- bezpieczeństwo
- Serie
- kilka
- znak
- podobny
- So
- Miękki
- kilka
- specyficzny
- Spot
- pobyt
- Ukradłem
- sklep
- taki
- Wskazuje
- inwigilacja
- systemy
- taktyka
- cel
- ukierunkowane
- kierowania
- cele
- Techniki
- Telecom
- telekomunikacja
- telekomunikacja
- telekomunikacyjny
- Połączenia
- świat
- ich
- w tym tygodniu
- groźba
- podmioty grożące
- do
- tematy
- śledzić
- Śledzenie
- Turcja
- Użytkownik
- zazwyczaj
- sprzedawca
- sprzedawców
- przez
- Ofiara
- tydzień
- Co
- KIM
- w ciągu
- świat
- lat
- zefirnet