بازیگر مخرب جدیدی به نام “WIP26” توسط SentinelOne مشاهده شده است که ارائه دهندگان مخابراتی در خاورمیانه را هدف قرار می دهد.
محققان امنیتی با تشریح این تهدید در مشاوره روز پنجشنبه گفتند که تیم WIP26 را با همکاران QGroup GmbH زیر نظر گرفته است.
الکساندر میلنکوسکی، محقق ارشد تهدید از SentinelLabs میگوید: «WIP26 با سوء استفاده از زیرساختهای عمومی Cloud – Microsoft 365 Mail، Microsoft Azure، Google Firebase و Dropbox – برای تحویل بدافزار، استخراج دادهها و اهداف C2 مشخص میشود. ، بازوی تحقیقات امنیتی SentinelOne.
عامل تهدید مشاهده شد که زنجیرههای عفونت را توسط کارمندان هدفگیری دقیق از طریق پیامهای WhatsApp حاوی لینکهای Dropbox به یک بارکننده بدافزار آغاز میکند. این قطعه بدافزار سپس منجر به استقرار دو درب پشتی با بهرهبرداری از ابزارهای ابری فوقالذکر میشود.
میلنکوسکی توضیح داد: “عملکرد اصلی CMD365 و CMDEmber اجرای دستورات سیستم ارائه شده توسط مهاجم با استفاده از مفسر فرمان ویندوز است.”
در مورد استفاده از زیرساخت ابر عمومی برای اهداف C2، این محقق امنیتی گفت که این یک تاکتیک است که سعی کنیم ترافیک شبکه مخرب C2 را قانونی جلوه دهیم و تشخیص را سختتر کنیم.
میلنکوسکی مینویسد: «نمونههای CMD365 و CMDEmber را مشاهده کردیم که بهعنوان نرمافزار کاربردی، مانند ویرایشگر PDF یا مرورگر، و نرمافزاری که عملیات بهروزرسانی را انجام میدهد، تبدیل شدند. “تلاش مخفیانه شامل استفاده از نام فایل ها، نمادهای برنامه، و امضاهای دیجیتالی است که فروشندگان نرم افزار موجود را نشان می دهد.”
محقق SentinelLabs اضافه کرد که WIP26 با توجه به ابزار و تاکتیکهای خود، عمدتاً بر فعالیتهای مرتبط با جاسوسی متمرکز است.
در این توصیه نامه آمده است: “هدف قرار دادن ارائه دهندگان مخابراتی در خاورمیانه نشان می دهد که انگیزه پشت این فعالیت مربوط به جاسوسی است.”
«ارائهدهندگان ارتباطات به دلیل دادههای حساسی که دارند، هدف مکرر فعالیتهای جاسوسی هستند. در نهایت، شواهد حاکی از آن است که به محض اینکه آنها جایگاه خود را ایجاد کردند، عامل تهدید اطلاعات خصوصی کاربران و میزبانهای شبکهای خاص با ارزش را هدف قرار داد.
توصیه SentinelOne هفتهها پس از آن منتشر میشود که محققان Trend Micro درباره کمپین متفاوتی که نهادها در خاورمیانه را هدف قرار میدهند، روشن کردند.
