ارائه دهندگان خدمات مخابراتی در خاورمیانه به عنوان بخشی از یک کمپین مشکوک مرتبط با جاسوسی، توسط یک عامل تهدید که قبلاً مستند نشده بود، هدف قرار می گیرند.
شرکتهای امنیت سایبری SentinelOne و QGroup در حال ردیابی خوشه فعالیت تحت نام WIP26 در حال انجام کار قبلی هستند.
محققین الکساندار میلنکوسکی، کولین فار و جوی چن در گزارشی که با The Hacker News به اشتراک گذاشته شده است، میگویند: «WIP26 به شدت به زیرساختهای ابری عمومی متکی است تا از شناسایی با قانونی جلوه دادن ترافیک مخرب جلوگیری کند».
این شامل استفاده نادرست از Microsoft 365 Mail، Azure، Google Firebase و Dropbox برای تحویل بدافزار، استخراج دادهها و اهداف فرمان و کنترل (C2) میشود.
بردار نفوذ اولیه مورد استفاده در حملات مستلزم "هدف گیری دقیق" کارمندان از طریق پیام های WhatsApp است که حاوی پیوندهایی به پیوندهای Dropbox به پرونده های آرشیو ظاهراً خوش خیم است.
این فایلها در واقع حاوی یک بارگذار بدافزار هستند که ویژگی اصلی آن استقرار دربهای پشتی مبتنی بر داتنت سفارشی مانند CMD365 یا CMDEmber است که از Microsoft 365 Mail و Google Firebase برای C2 استفاده میکند.
محققان می گویند: «عملکرد اصلی CMD365 و CMDEmber اجرای دستورات سیستم ارائه شده توسط مهاجم با استفاده از مفسر فرمان ویندوز است. از این قابلیت برای انجام انواع فعالیتها مانند شناسایی، افزایش امتیازات، مرحلهبندی بدافزارهای اضافی و استخراج دادهها استفاده شد.»
CMD365، به نوبه خود، با اسکن پوشه صندوق ورودی برای ایمیلهای خاصی که با خط موضوع «ورودی» شروع میشود، کار میکند تا دستورات C2 را برای اجرا در میزبانهای آلوده استخراج کند. از طرف دیگر CMDEmber با صدور درخواست های HTTP داده ها را از سرور C2 ارسال و دریافت می کند.
انتقال داده ها - که شامل اطلاعات مرورگر وب خصوصی کاربران و جزئیات مربوط به میزبان های با ارزش در شبکه قربانی است - به نمونه های Azure تحت کنترل بازیگر با استفاده از دستورات PowerShell هماهنگ می شود.
سوء استفاده از سرویسهای ابری برای اهداف شرور بیسابقه نیست، و آخرین کمپین WIP26 نشاندهنده تلاشهای مداوم بازیگران تهدید برای فرار از شناسایی است.
همچنین این اولین بار نیست که ارائه دهندگان مخابراتی در خاورمیانه تحت رادار گروه های جاسوسی قرار می گیرند. در دسامبر 2022، Bitdefender جزئیات عملیاتی به نام BackdoorDiplomacy را با هدف یک شرکت مخابراتی در منطقه برای جمعآوری دادههای ارزشمند فاش کرد.
ارسال نظر