Ранее неизвестный злоумышленник атакует телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа, аналогичной многим, которые в последние годы наносили удары по телекоммуникационным организациям во многих странах.

Исследователи из SentinelOne, заметившие новую кампанию, заявили, что отслеживают ее как WIP26 — обозначение, которое компания использует для действий, которые она не может отнести к какой-либо конкретной группе кибератак.

В отчете на этой неделе они отметили, что наблюдал WIP26 с использованием общедоступной облачной инфраструктуры для доставки вредоносного ПО и хранения украденных данных, а также для целей управления и контроля (C2). Поставщик систем безопасности оценил, что злоумышленник использует эту тактику — как и многие другие в наши дни — чтобы избежать обнаружения и затруднить обнаружение его действий в скомпрометированных сетях. 

«Деятельность WIP26 является важным примером того, как злоумышленники постоянно обновляют свои TTP. [тактика, техника и процедуры] в попытке оставаться скрытным и обойти защиту», — заявили в компании.

Целевые атаки на телекоммуникации Ближнего Востока

Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным лицам в целевых телекоммуникационных компаниях на Ближнем Востоке. Сообщения содержали ссылку на архивный файл в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также включал загрузчик вредоносного ПО. 

Пользователи, которых обманом заставили перейти по ссылке, в итоге установили на свои устройства два бэкдора. SentinelOne обнаружил один из них, отслеживаемый как CMD365, с использованием почтового клиента Microsoft 365 в качестве C2, а второй бэкдор, получивший название CMDEmber, использовал экземпляр Google Firebase для той же цели.

Поставщик безопасности описал WIP26 как использование бэкдоров для проведения разведки, повышения привилегий, развертывания дополнительных вредоносных программ. - и для кражи личных данных браузера пользователя, информации о ценных системах в сети жертвы и других данных. По оценкам SentinelOne, многие данные, которые оба бэкдора собирают из систем и сети жертв, позволяют предположить, что злоумышленник готовится к будущей атаке. 

«Первоначальный вектор вторжения, который мы наблюдали, включал точное нацеливание», — сказал SentinelOne. «Кроме того, нападение на поставщиков телекоммуникационных услуг на Ближнем Востоке предполагает, что мотив этой деятельности связан со шпионажем».

Телекоммуникационные компании продолжают оставаться излюбленными целями шпионажа

WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Некоторые из более свежих примеров - как серия атак на австралийские телекоммуникационные компании, такие как Optus, Telstraи Диалог - были финансово мотивированы. Эксперты по безопасности указали на эти атаки как на знак повышенный интерес к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или захватить мобильные устройства через так называемые Схемы замены SIM.

Однако чаще кибершпионаж и слежка были основными мотивами атак на поставщиков телекоммуникационных услуг. Поставщики систем безопасности сообщили о нескольких кампаниях, в ходе которых передовые группы постоянных угроз из таких стран, как Китай, Турция и Иран, проникли в сеть провайдера связи, чтобы они могли шпионить за отдельными лицами и группами, представляющими интерес для их соответствующих правительств.

Одним из примеров является Операция «Мягкая ячейка», где базирующаяся в Китае группа взломала сети крупных телекоммуникационных компаний по всему миру, чтобы украсть записи данных о звонках, чтобы они могли отслеживать конкретных людей. В другой кампании злоумышленник, отслеживаемый как Легкий бассейн украл идентификатор мобильного абонента (IMSI) и метаданные из сетей 13 основных операторов связи. В рамках кампании злоумышленник установил вредоносное ПО в сетях операторов связи, что позволило ему перехватывать звонки, текстовые сообщения и записи звонков целевых лиц.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks