Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Неизвестная группировка шпионит за телекоммуникационными компаниями на Ближнем Востоке

21/02/23

hack70-Feb-21-2023-10-24-58-9750-AM

 

Исследователи кибербезопасности из SentinelOne обнаружили, что ранее неизвестная группировка атакует телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа. Это передает Securitylab.

Эксперты отслеживают группу как WIP26. По их словам, WIP26 использует общедоступную облачную инфраструктуру для доставки вредоносных программ и хранения удаленных данных, а также для целей управления и контроля (C&C, C2). Хакеры используют эту тактику, чтобы избежать обнаружения.

Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным сотрудникам целевых компаний. Сообщения содержали ссылку на архив в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также содержал загрузчик вредоносного ПО.

Пользователи, которые перешли по ссылке, в итоге установили на свои устройства 2 бэкдора. SentinelOne отслеживает один из них как CMD365 – он использует почтовый клиент Microsoft 365 в качестве C2-сервера, а второй бэкдор, получивший название CMDEmber, использует экземпляр Google Firebase для той же цели.

WIP26 использует бэкдоры для:

  • проведения разведки;
  • повышения привилегий;
  • развертывания дополнительных вредоносных программ;
  • кражи личных данных браузера пользователя;
  • информации о ценных системах в сети жертвы;
  • и других данных.

По оценкам SentinelOne, многие собираемые данные позволяют хакерам подготовиться к будущей атаке.

WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Один из недавних примеров – атака на австралийскую телекоммуникационную компанию Optus. Эксперты по безопасности указали на эти атаки как на признак повышенного интереса к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или захватить мобильные устройства с помощью техники SIM Swapping.

Темы:ПреступлениякибершпионажСредний ВостокSentinelOne
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...