Новости Неизвестная группировка шпионит за телекоммуникационными компаниями на Ближнем Востоке

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022

Облако как сервер управления и сообщения WhatsApp как вектор заражения.​


o63nh1f2tiq4twmh6z0obxmf81sumbvv.jpg


Исследователи кибербезопасности из SentinelOne Для просмотра ссылки Войди или Зарегистрируйся , что ранее неизвестная группировка атакует телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа.

Эксперты отслеживают группу как WIP26. По их словам, WIP26 использует общедоступную облачную инфраструктуру для доставки вредоносных программ и хранения удаленных данных, а также для целей управления и контроля (C&C, Для просмотра ссылки Войди или Зарегистрируйся ). Хакеры используют эту тактику, чтобы избежать обнаружения.

Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным сотрудникам целевых компаний. Сообщения содержали ссылку на архив в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также содержал загрузчик вредоносного ПО.

Пользователи, которые перешли по ссылке, в итоге установили на свои устройства 2 бэкдора. SentinelOne отслеживает один из них как CMD365 – он использует почтовый клиент Microsoft 365 в качестве C2-сервера, а второй бэкдор, получивший название CMDEmber, использует экземпляр Google Firebase для той же цели.

WIP26 использует бэкдоры для:

  • проведения разведки;
  • повышения привилегий;
  • развертывания дополнительных вредоносных программ;
  • кражи личных данных браузера пользователя;
  • информации о ценных системах в сети жертвы;
  • и других данных.

По оценкам SentinelOne, многие собираемые данные позволяют хакерам подготовиться к будущей атаке.

WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Один из недавних примеров – атака на австралийскую телекоммуникационную компанию Для просмотра ссылки Войди или Зарегистрируйся . Эксперты по безопасности указали на эти атаки как на признак повышенного интереса к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или захватить мобильные устройства с помощью техники Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
www.securitylab.ru

Похожие темы