Language
Neuartige Spionagegruppe nimmt Telekommunikationsunternehmen mit „Präzision“ ins Visier
HeimHeim > Blog > Neuartige Spionagegruppe nimmt Telekommunikationsunternehmen mit „Präzision“ ins Visier
NEUESTEN NACHRICHTEN

Neuartige Spionagegruppe nimmt Telekommunikationsunternehmen mit „Präzision“ ins Visier

Apr 29, 2023

Ein bisher unbekannter Bedrohungsakteur nimmt Telekommunikationsunternehmen im Nahen Osten ins Visier, was wie eine Cyberspionagekampagne aussieht, ähnlich wie viele, die in den letzten Jahren Telekommunikationsunternehmen in mehreren Ländern getroffen haben.

Forscher von SentinelOne, die die neue Kampagne entdeckten, gaben an, sie als WIP26 zu verfolgen, eine Bezeichnung, die das Unternehmen für Aktivitäten verwendet, die es keiner bestimmten Cyberangriffsgruppe zuordnen konnte.

In einem Bericht diese Woche stellten sie fest, dass sie beobachtet hatten, wie WIP26 die öffentliche Cloud-Infrastruktur nutzte, um Malware zu verbreiten und exfiltrierte Daten zu speichern, sowie für Command-and-Control-Zwecke (C2). Der Sicherheitsanbieter schätzte, dass der Bedrohungsakteur diese Taktik – wie viele andere heutzutage auch – nutzt, um der Entdeckung zu entgehen und seine Aktivitäten in kompromittierten Netzwerken schwerer zu erkennen.

„Die WIP26-Aktivität ist ein relevantes Beispiel dafür, dass Bedrohungsakteure ihre TTPs [Taktiken, Techniken und Verfahren] kontinuierlich weiterentwickeln, um heimlich zu bleiben und Abwehrmaßnahmen zu umgehen“, sagte das Unternehmen.

Die von SentinelOne beobachteten Angriffe begannen in der Regel mit WhatsApp-Nachrichten, die sich an bestimmte Personen innerhalb der Ziel-Telekommunikationsunternehmen im Nahen Osten richteten. Die Nachrichten enthielten einen Link zu einer Archivdatei in Dropbox, die angeblich Dokumente zu für die Region relevanten Armutsthemen enthielt. Aber in Wirklichkeit war auch ein Malware-Loader enthalten.

Benutzer, die dazu verleitet wurden, auf den Link zu klicken, führten dazu, dass auf ihren Geräten zwei Hintertüren installiert wurden. SentinelOne hat eine davon gefunden, die als CMD365 verfolgt wird und einen Microsoft 365 Mail-Client als C2 verwendet, und die zweite Hintertür, CMDEmber genannt, die für denselben Zweck eine Google Firebase-Instanz verwendet.

Der Sicherheitsanbieter beschrieb, dass WIP26 die Hintertüren nutzte, um Aufklärung durchzuführen, Berechtigungen zu erhöhen, zusätzliche Malware einzusetzen – und um die privaten Browserdaten des Benutzers, Informationen zu hochwertigen Systemen im Netzwerk des Opfers und andere Daten zu stehlen. SentinelOne schätzte, dass viele der Daten, die beide Backdoors von den Systemen und Netzwerken der Opfer gesammelt haben, darauf hindeuten, dass der Angreifer sich auf einen zukünftigen Angriff vorbereitet.

„Der erste Eindringungsvektor, den wir beobachteten, beinhaltete präzises Targeting“, sagte SentinelOne. „Darüber hinaus legen die Angriffe auf Telekommunikationsanbieter im Nahen Osten nahe, dass das Motiv hinter dieser Aktivität mit Spionage zusammenhängt.“

WIP26 ist einer von vielen Bedrohungsakteuren, die in den letzten Jahren Telekommunikationsunternehmen ins Visier genommen haben. Einige der neueren Beispiele – wie eine Reihe von Angriffen auf australische Telekommunikationsunternehmen wie Optus, Telestra und Dialog – waren finanziell motiviert. Sicherheitsexperten sehen in diesen Angriffen ein Zeichen für das zunehmende Interesse von Cyberkriminellen an Telekommunikationsunternehmen, die darauf aus sind, Kundendaten zu stehlen oder mobile Geräte über sogenannte SIM-Swapping-Systeme zu kapern.

Häufiger sind jedoch Cyberspionage und Überwachung die Hauptmotive für Angriffe auf Telekommunikationsanbieter. Sicherheitsanbieter haben über mehrere Kampagnen berichtet, bei denen hochentwickelte, hartnäckige Bedrohungsgruppen aus Ländern wie China, der Türkei und dem Iran in das Netzwerk eines Kommunikationsanbieters eingebrochen sind, um Einzelpersonen und Interessengruppen ihrer jeweiligen Regierungen auszuspionieren.

Ein Beispiel ist Operation Soft Cell, bei der eine in China ansässige Gruppe in die Netzwerke großer Telekommunikationsunternehmen auf der ganzen Welt einbrach, um Anrufdatensätze zu stehlen und so bestimmte Personen aufzuspüren. In einer anderen Kampagne stahl ein als Light Basin identifizierter Bedrohungsakteur Mobile Subscriber Identity (IMSI) und Metadaten aus den Netzwerken von 13 großen Mobilfunkanbietern. Im Rahmen der Kampagne installierte der Bedrohungsakteur Malware in den Netzen der Betreiber, die es ihm ermöglichte, Anrufe, Textnachrichten und Anrufaufzeichnungen von Zielpersonen abzufangen.