Бесплатно Экспресс-аудит сайта:

21.02.2023

Неизвестная группировка шпионит за телекоммуникационными компаниями на Ближнем Востоке

Исследователи кибербезопасности из SentinelOne обнаружили , что ранее неизвестная группировка атакует телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа.

Эксперты отслеживают группу как WIP26. По их словам, WIP26 использует общедоступную облачную инфраструктуру для доставки вредоносных программ и хранения удаленных данных, а также для целей управления и контроля (C&C, C2 ). Хакеры используют эту тактику, чтобы избежать обнаружения.

Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным сотрудникам целевых компаний. Сообщения содержали ссылку на архив в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также содержал загрузчик вредоносного ПО.

Пользователи, которые перешли по ссылке, в итоге установили на свои устройства 2 бэкдора. SentinelOne отслеживает один из них как CMD365 – он использует почтовый клиент Microsoft 365 в качестве C2-сервера, а второй бэкдор, получивший название CMDEmber, использует экземпляр Google Firebase для той же цели.

WIP26 использует бэкдоры для:

  • проведения разведки;
  • повышения привилегий;
  • развертывания дополнительных вредоносных программ;
  • кражи личных данных браузера пользователя;
  • информации о ценных системах в сети жертвы;
  • и других данных.

По оценкам SentinelOne, многие собираемые данные позволяют хакерам подготовиться к будущей атаке.

WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Один из недавних примеров – атака на австралийскую телекоммуникационную компанию Optus . Эксперты по безопасности указали на эти атаки как на признак повышенного интереса к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или захватить мобильные устройства с помощью техники SIM Swapping .