Раніше невідомий суб’єкт загрози націлився на телекомунікаційні компанії на Близькому Сході в рамках кампанії кібершпигунства, подібної до багатьох, що вразили телекомунікаційні організації в багатьох країнах за останні роки.
Дослідники з SentinelOne, які помітили нову кампанію, сказали, що відстежують її як WIP26, позначення, яке компанія використовує для активності, яку їй не вдалося віднести до якоїсь конкретної групи кібератак.
У звіті цього тижня вони зазначили, що мали спостерігав WIP26 за допомогою публічної хмарної інфраструктури для доставки зловмисного програмного забезпечення та зберігання викрадених даних, а також для командно-контрольних цілей (C2). Постачальник засобів безпеки оцінив, що загроза використовує тактику, як і багато інших, щоб уникнути виявлення та ускладнити виявлення її активності в скомпрометованих мережах.
«Діяльність WIP26 є релевантним прикладом того, що суб’єкти загроз постійно інновують свої TTP [тактика, техніка та процедури] намагаючись залишитися непомітним і обійти захист», – заявили в компанії.
Цільові атаки Mideast Telecom
Атаки, які спостерігав SentinelOne, зазвичай починалися з повідомлень WhatsApp, спрямованих на конкретних осіб у цільових телекомунікаційних компаніях на Близькому Сході. Повідомлення містили посилання на архівний файл у Dropbox, який нібито містив документи на теми, пов’язані з бідністю, що стосуються регіону. Але насправді він також містив завантажувач шкідливих програм.
Користувачі, яких обманом змусили перейти за посиланням, у кінцевому підсумку мали на своїх пристроях два бекдори. SentinelOne знайшов один із них, який відстежується як CMD365, використовуючи клієнт Microsoft 365 Mail як C2, а другий бекдор, який отримав назву CMDEmber, використовує екземпляр Google Firebase для тієї ж мети.
Постачальник безпеки описав WIP26 як використання бекдорів для проведення розвідки, підвищення привілеїв, розгортання додаткового шкідливого програмного забезпечення - і для викрадення приватних даних браузера користувача, інформації про важливі системи в мережі жертви та інших даних. SentinelOne оцінив, що багато даних, які обидва бекдори збирали з систем жертви та мережі, свідчать про те, що зловмисник готується до майбутньої атаки.
«Початковий вектор вторгнення, який ми спостерігали, передбачав точне націлювання», — сказав SentinelOne. «Крім того, напад на телекомунікаційних провайдерів на Близькому Сході свідчить про те, що мотив цієї діяльності пов’язаний зі шпигунством».
Телекомунікаційні компанії продовжують залишатися улюбленими цілями для шпигунства
WIP26 є одним із багатьох загроз, які атакували телекомунікаційні компанії протягом останніх кількох років. Кілька свіжих прикладів - як серія атак на австралійські телекомунікаційні компанії, такі як Оптус, Телестра та Діалог - були фінансово мотивовані. Експерти з безпеки вказали на ці напади як на знак підвищений інтерес до телекомунікаційних компаній серед кіберзлочинців, які прагнуть викрасти дані клієнтів або захопити мобільні пристрої за допомогою т.зв Схеми заміни SIM.
Однак найчастіше кібершпигунство та стеження були основною мотивацією для атак на постачальників телекомунікацій. Постачальники засобів безпеки повідомили про кілька кампаній, у яких передові групи стійких загроз з таких країн, як Китай, Туреччина та Іран, проникали в мережу постачальника зв’язку, щоб вони могли шпигувати за окремими особами та групами, які становлять інтерес для відповідних урядів.
Одним із прикладів є Операція Soft Cell, де китайська група зламала мережі великих телекомунікаційних компаній по всьому світу, щоб викрасти записи даних про дзвінки, щоб вони могли відслідковувати конкретних осіб. В іншій кампанії загрозливий актор відстежував як Легкий басейн викрав Mobile Subscriber Identity (IMSI) і метадані з мереж 13 основних операторів. У рамках кампанії зловмисник встановив зловмисне програмне забезпечення в мережах операторів, що дозволило йому перехоплювати дзвінки, текстові повідомлення та записи дзвінків цільових осіб.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Здатний
- діяльність
- актори
- доповнення
- просунутий
- серед
- та
- Інший
- архів
- навколо
- оцінюється
- атака
- нападки
- Австралійський
- закулісний
- бекдори
- почалася
- за
- Зламав
- Зламаний
- браузер
- call
- Виклики
- Кампанія
- Кампанії
- носіїв
- Китай
- клієнт
- хмара
- Збір
- Комунікація
- Компанії
- компанія
- Компрометація
- Проводити
- продовжувати
- постійно
- може
- країни
- клієнт
- дані про клієнтів
- Кібератака
- кібератаки
- кіберзлочинці
- дані
- Днів
- доставляти
- розгортання
- описаний
- позначення
- Виявлення
- прилади
- документація
- Dropbox
- охрестили
- Схід
- ПОВЕРНЕНО
- шпигунство
- приклад
- Приклади
- experts
- Улюблений
- кілька
- філе
- фінансово
- Firebase
- знайдений
- від
- далі
- майбутнє
- Уряду
- Group
- Групи
- має
- викрадати
- хіт
- HTTPS
- Особистість
- in
- включені
- збільшений
- осіб
- інформація
- початковий
- інноваційний
- встановлений
- екземпляр
- інтерес
- залучений
- Іран
- IT
- LINK
- завантажувач
- шукати
- серія
- основний
- зробити
- шкідливих програм
- багато
- повідомлення
- метадані
- Microsoft
- Середній
- середній Схід
- Mobile
- мобільні пристрої
- більше
- мотивовані
- мотиви
- множинний
- мережу
- мереж
- Нові
- зазначив,
- роман
- ONE
- організації
- Інше
- інші
- частина
- Минуле
- plato
- Інформація про дані Платона
- PlatoData
- Точність
- раніше
- первинний
- приватний
- привілеї
- Процедури
- Постачальник
- провайдери
- громадськість
- Публічна хмара
- мета
- цілей
- Реальність
- останній
- облік
- регіон
- доречний
- звітом
- Повідомляється
- ті
- Зазначений
- то ж
- другий
- безпеку
- Серія
- кілька
- підпис
- аналогічний
- So
- М'який
- деякі
- конкретний
- Spot
- залишатися
- вкрав
- зберігати
- такі
- Запропонує
- спостереження
- Systems
- тактика
- Мета
- цільове
- націлювання
- цілі
- методи
- телеком
- телекомунікації
- зв'язок
- телекоми
- Команда
- світ
- їх
- На цьому тижні
- загроза
- актори загроз
- до
- теми
- трек
- Відстеження
- Туреччина
- користувач
- зазвичай
- продавець
- постачальники
- через
- Жертва
- week
- Що
- ВООЗ
- в
- світ
- років
- зефірнет