Ранее неизвестный злоумышленник атакует телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа, аналогичной многим, которые в последние годы наносили удары по телекоммуникационным организациям во многих странах.
Исследователи из SentinelOne, заметившие новую кампанию, заявили, что отслеживают ее как WIP26 — обозначение, которое компания использует для действий, которые она не может отнести к какой-либо конкретной группе кибератак.
В отчете на этой неделе они отметили, что наблюдал WIP26 с использованием общедоступной облачной инфраструктуры для доставки вредоносного ПО и хранения украденных данных, а также для целей управления и контроля (C2). Поставщик систем безопасности оценил, что злоумышленник использует эту тактику — как и многие другие в наши дни — чтобы избежать обнаружения и затруднить обнаружение его действий в скомпрометированных сетях.
«Деятельность WIP26 является важным примером того, как злоумышленники постоянно обновляют свои TTP. [тактика, техника и процедуры] в попытке оставаться скрытным и обойти защиту», — заявили в компании.
Целевые атаки на телекоммуникации Ближнего Востока
Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным лицам в целевых телекоммуникационных компаниях на Ближнем Востоке. Сообщения содержали ссылку на архивный файл в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также включал загрузчик вредоносного ПО.
Пользователи, которых обманом заставили перейти по ссылке, в итоге установили на свои устройства два бэкдора. SentinelOne обнаружил один из них, отслеживаемый как CMD365, с использованием почтового клиента Microsoft 365 в качестве C2, а второй бэкдор, получивший название CMDEmber, использовал экземпляр Google Firebase для той же цели.
Поставщик безопасности описал WIP26 как использование бэкдоров для проведения разведки, повышения привилегий, развертывания дополнительных вредоносных программ. - и для кражи личных данных браузера пользователя, информации о ценных системах в сети жертвы и других данных. По оценкам SentinelOne, многие данные, которые оба бэкдора собирают из систем и сети жертв, позволяют предположить, что злоумышленник готовится к будущей атаке.
«Первоначальный вектор вторжения, который мы наблюдали, включал точное нацеливание», — сказал SentinelOne. «Кроме того, нападение на поставщиков телекоммуникационных услуг на Ближнем Востоке предполагает, что мотив этой деятельности связан со шпионажем».
Телекоммуникационные компании продолжают оставаться излюбленными целями шпионажа
WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Некоторые из более свежих примеров - как серия атак на австралийские телекоммуникационные компании, такие как Optus, Telstraи Диалог - были финансово мотивированы. Эксперты по безопасности указали на эти атаки как на знак повышенный интерес к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или захватить мобильные устройства через так называемые Схемы замены SIM.
Однако чаще кибершпионаж и слежка были основными мотивами атак на поставщиков телекоммуникационных услуг. Поставщики систем безопасности сообщили о нескольких кампаниях, в ходе которых передовые группы постоянных угроз из таких стран, как Китай, Турция и Иран, проникли в сеть провайдера связи, чтобы они могли шпионить за отдельными лицами и группами, представляющими интерес для их соответствующих правительств.
Одним из примеров является Операция «Мягкая ячейка», где базирующаяся в Китае группа взломала сети крупных телекоммуникационных компаний по всему миру, чтобы украсть записи данных о звонках, чтобы они могли отслеживать конкретных людей. В другой кампании злоумышленник, отслеживаемый как Легкий бассейн украл идентификатор мобильного абонента (IMSI) и метаданные из сетей 13 основных операторов связи. В рамках кампании злоумышленник установил вредоносное ПО в сетях операторов связи, что позволило ему перехватывать звонки, текстовые сообщения и записи звонков целевых лиц.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- в состоянии
- деятельность
- актеры
- дополнение
- продвинутый
- среди
- и
- Другой
- архив
- около
- оценивается
- атаковать
- нападки
- австралийский
- задняя дверь
- Черные ходы
- начал
- за
- Сломался
- Сломанный
- браузер
- призывают
- Объявления
- Кампания
- Кампании
- носители
- Китай
- клиент
- облако
- Сбор
- Связь
- Компании
- Компания
- Ослабленный
- Проводить
- продолжать
- непрерывно
- может
- страны
- клиент
- данные клиентов
- Кибератака
- кибератаки
- киберпреступники
- данным
- Дней
- доставить
- развертывание
- описано
- обозначение
- обнаружение
- Устройства
- Документация
- Dropbox
- дублированный
- восток
- ELEVATE
- шпионаж
- пример
- Примеры
- эксперты
- Избранное
- несколько
- Файл
- в финансовом отношении
- Firebase
- найденный
- от
- далее
- будущее
- Правительства
- группы
- Группы
- имеющий
- похищать
- Удар
- HTTPS
- Личность
- in
- включены
- расширились
- лиц
- информация
- начальный
- инновации
- установлен
- пример
- интерес
- вовлеченный
- включая Иран
- IT
- LINK
- загрузчик
- искать
- серия
- основной
- сделать
- вредоносных программ
- многих
- Сообщения
- Метаданные
- Microsoft
- средняя
- Ближний Восток
- Мобильный телефон
- мобильных устройств
- БОЛЕЕ
- мотивированные
- мотивации
- с разными
- сеть
- сетей
- Новые
- отметил,
- роман
- ONE
- организации
- Другое
- Другое
- часть
- мимо
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точность
- предварительно
- первичный
- частная
- привилегии
- Процедуры
- Недвижимости
- поставщики
- что такое варган?
- Открытое облако
- цель
- целей
- Реальность
- последний
- учет
- область
- соответствующие
- отчету
- Сообщается
- те
- Сказал
- то же
- Во-вторых
- безопасность
- Серии
- несколько
- подпись
- аналогичный
- So
- мягкая
- некоторые
- конкретный
- Спотовая торговля
- оставаться
- украли
- магазин
- такие
- Предлагает
- наблюдение
- системы
- тактика
- цель
- целевое
- направлены
- направлена против
- снижения вреда
- телеком
- телекоммуникация
- связь
- Телекоммуникации
- Ассоциация
- мир
- их
- На этой неделе
- угроза
- актеры угрозы
- в
- Темы
- трек
- Отслеживание
- Турция
- Информация о пользователе
- обычно
- продавец
- поставщики
- с помощью
- Жертва
- неделя
- Что
- КТО
- в
- Мир
- лет
- зефирнет