Облако как сервер управления и сообщения WhatsApp как вектор заражения.
Исследователи кибербезопасности из SentinelOne Для просмотра ссылки Войди
Эксперты отслеживают группу как WIP26. По их словам, WIP26 использует общедоступную облачную инфраструктуру для доставки вредоносных программ и хранения удаленных данных, а также для целей управления и контроля (C&C, Для просмотра ссылки Войди
Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным сотрудникам целевых компаний. Сообщения содержали ссылку на архив в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также содержал загрузчик вредоносного ПО.
Пользователи, которые перешли по ссылке, в итоге установили на свои устройства 2 бэкдора. SentinelOne отслеживает один из них как CMD365 – он использует почтовый клиент Microsoft 365 в качестве C2-сервера, а второй бэкдор, получивший название CMDEmber, использует экземпляр Google Firebase для той же цели.
WIP26 использует бэкдоры для:
- проведения разведки;
- повышения привилегий;
- развертывания дополнительных вредоносных программ;
- кражи личных данных браузера пользователя;
- информации о ценных системах в сети жертвы;
- и других данных.
По оценкам SentinelOne, многие собираемые данные позволяют хакерам подготовиться к будущей атаке.
WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Один из недавних примеров – атака на австралийскую телекоммуникационную компанию Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru