Atividade do grupo hacker WIP26 é iniciada pelo direcionamento a funcionários por meio de mensagens do WhatsApp que contêm links do Dropbox para um carregador de malware
Um novo malware, apelidado de WIP26 pela SentinelOne, foi detectado realizando tentativas de ataques a operadoras de telecomunicações no Oriente Médio. Ao descrever a ameaça, os pesquisadores da empresa de cibersegurança disseram que a equipe está monitorando o WIP26 com colegas da QGroup GmbH, empresa de software de segurança alemã.
A atividade do WIP26 é iniciada pelo direcionamento a funcionários por meio de mensagens do WhatsApp que contêm links do Dropbox — com arquivos sobre questões relacionadas à pobreza no Afeganistão — para um carregador de malware, disseram os pesquisadores.
“Enganar os funcionários para que baixem e executem o carregador leva à implantação de backdoors que aproveitam as instâncias do Microsoft 365 Mail e do Google Firebase como servidores de comando e controle para o malware. As backdoors — código usado para invadir sistemas — são mascaradas como editores de PDF, navegadores ou outro software”, escreveu o pesquisador sênior de ameaças Aleksandar Milenkoski do SentinelLabs, braço de pesquisa de segurança da SentinelOne.
Uma das backdoors que vieram com os arquivos do Dropbox – CMD365 – foi usada para “reconhecimento, escalonamento de privilégios, preparação de malware adicional e exfiltração de dados”. “A principal funcionalidade do CMD365 é executar comandos de sistema fornecidos pelo invasor usando o interpretador de comandos do Windows”, explicou Milenkoski.
Quanto ao uso da infraestrutura de nuvem pública para fins de instalação de servidores de comando e controle (C&C), o pesquisador de segurança disse que é uma tática para tentar fazer com que o tráfego de rede malicioso pareça legítimo e dificultar a detecção.
Segundo a SentinelOne, os dados exfiltrados incluíam dados do navegador privado dos usuários e informações de reconhecimento em determinados hosts de alto valor na rede da vítima. A empresa disse ter notificado a Microsoft, o Google e o Dropbox sobre a campanha e explicou que as empresas de telecomunicações são alvos frequentes de espionagem porque carregam informações confidenciais. Elas também são alvos constantes porque possibilitam que os hackers tenham acesso a informações de usuários específicos e obtenham dados de alto valor.
Ainda de acordo com a SentinelOne, o trabalho conjunto com a empresa de segurança alemã QGroup permitiu que fossem detectados vários erros cometidos pelos perpetradores da campanha, que deram aos pesquisadores informações sobre seu trabalho, incluindo um arquivo JSON exposto que ainda está acessível ao público.Parte do motivo pelo qual os hackers usam a infraestrutura de nuvem pública é para que sua atividade se misture ao tráfego típico visto pelos defensores da rede.
“Por exemplo, o grupo norte-coreano APT 37 (InkySquid) usou a API do Microsoft Graph para operações C&C. Além disso, semelhante ao CMD365, a backdoor Siestagraph, usada no conjunto de intrusão REF2924 direcionado ao Gabinete de Relações Exteriores de um membro da Associação das Nações do Sudeste Asiático (Asean), aproveita a API do Microsoft Graph para acessar o Microsoft 365 Mail para comunicação C&C”, explicou a SentinelOne.
Fonte:
https://www.cisoadvisor.com.br/nuvem-e-usada-para-espionar-operadoras-de-telecom/
