Een nieuwe, vermoedelijk aan spionage gerelateerde dreiging maakt gebruik van public cloudinfrastructuur. Dat meldt beveiligingsbedrijf SentinelOne. De dreiging wordt aangeduid als WIP26.
WIP26 laat kwaadaardig verkeer legitiem lijken in een poging detectie te omzeilen. WIP26 gebruikt de backdoors CMD365 en CMDEmber om Microsoft 365 Mail en Google Firebase-diensten te misbruiken voor C2-doeleinden. Ook worden Microsoft Azure en Dropbox instances voor data-exfiltratie en malware hosting ingezet. De cybercriminelen achter WIP26 richten zich op telecomaanbieders in het Midden-Oosten.
Hoe WIP26 werkt
Door medewerkers via WhatsApp te verleiden tot het downloaden en uitvoeren van een malware loader, zet WIP26 de backdoors CMD365 en CMDEmber in die Microsoft 365 Mail en Google Firebase-instanties gebruiken als C2-servers. De belangrijkste functionaliteit van deze backdoors is het uitvoeren van door kwaadwillenden verstrekte systeemcommando’s met behulp van de command interpreter in Windows.
Het gebruik van public cloudinfrastructuur voor C2-doeleinden is een poging om kwaadaardig C2-netwerkverkeer te maskeren en legitiem te laten lijken. Detectie wordt daardoor bemoeilijkt. De backdoors doen zich voor als hulpprogramma’s, zoals een PDF-editor of een browser, en als software die updates uitvoert. Er wordt gebruik gemaakt van bestandsnamen, pictogrammen en digitale handtekeningen die van bestaande, legitieme softwareleveranciers afkomstig lijken.
Vooral gericht op telecomproviders
SentinelOne gebruikt de aanduiding Work-In-Progress (WIPxx) voor dreigingen zonder directe toeschrijving. Dat telecomproviders in het Midden-Oosten het doelwit zijn, wijst erop dat de dreiging spionagedoeleinden heeft, zegt het bedrijf. “Telecomproviders zijn vaak doelwit van spionage vanwege de gevoelige gegevens die zij bewaren. Ook zijn er aanwijzingen dat de dreiging gericht is op de privégegevens van gebruikers en op specifieke netwerkhosts. De cybercriminelen achter WIP26 lijken echter enkele OPSEC-fouten te hebben gemaakt. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26.”
