Los proveedores de servicios de telecomunicaciones en el Medio Oriente están siendo atacados por un actor de amenazas previamente indocumentado como parte de una supuesta misión de recopilación de inteligencia.
Las firmas de ciberseguridad SentinelOne y QGroup están rastreando el grupo de actividades bajo el nombre de trabajo en progreso del primero. WIP26.
«WIP26 depende en gran medida de la infraestructura de la nube pública en un intento de evadir la detección al hacer que el tráfico malicioso parezca legítimo», los investigadores Aleksandar Milenkoski, Collin Farr y Joey Chen. dicho en un informe compartido con The Hacker News.
Esto incluye el uso indebido de Microsoft 365 Mail, Azure, Google Firebase y Dropbox para la entrega de malware, la exfiltración de datos y el comando y control (C2).
El vector de intrusión inicial utilizado en los ataques implica «focalizar con precisión» a los empleados a través de mensajes de WhatsApp que contienen enlaces a enlaces de Dropbox a archivos supuestamente benignos.
Los archivos, en realidad, albergan un cargador de malware cuya característica principal es implementar puertas traseras personalizadas basadas en .NET, como CMD365 o CMDEmber, que aprovechan Microsoft 365 Mail y Google Firebase para C2.
«La funcionalidad principal de CMD365 y CMDEmber es ejecutar los comandos del sistema proporcionados por el atacante utilizando el intérprete de comandos de Windows», dijeron los investigadores. «Esta capacidad se usó para realizar una variedad de actividades, como reconocimiento, escalada de privilegios, puesta en escena de malware adicional y exfiltración de datos».
CMD365, por su parte, funciona escaneando la carpeta de la bandeja de entrada en busca de correos electrónicos específicos que comiencen con la línea de asunto «entrada» para extraer los comandos C2 para su ejecución en los hosts infectados. CMDEmber, por otro lado, envía y recibe datos del servidor C2 mediante la emisión de solicitudes HTTP.
La transmisión de los datos, que comprende la información del navegador web privado de los usuarios y los detalles sobre los hosts de alto valor en la red de la víctima, a instancias de Azure controladas por actores se organiza mediante comandos de PowerShell.
El abuso de los servicios en la nube para fines nefastos no es desconocido, y la última campaña de WIP26 indica intentos continuos por parte de los actores de amenazas para evadir la detección.
Esta no es la primera vez que los proveedores de telecomunicaciones en el Medio Oriente están bajo el radar de los grupos de espionaje. En diciembre de 2022, Bitdefender reveló detalles de una operación denominada Diplomacia de puerta trasera dirigido a una empresa de telecomunicaciones de la región para desviar datos valiosos.