ProgressCommunications.euwww.marcommit.nlwww.lubbersdejong.nl
INFLUX PRProgressCommunications.euINFLUX PR

x.com/ictberichten
Deel dit nu via
Datum: (2 jaar en 16 dagen geleden)
Bedrijf:
PR: Tyto PR Nederland

Nieuwe dreiging gebruikt cloudinfrastructuur bij aanvallen op telecomproviders

Amsterdam, 27 februari 2023 - SentinelOne volgt een nieuwe, vermoedelijk aan spionage gerelateerde dreiging die wordt aangeduid als WIP26. De dreiging maakt gebruik vanpublic cloudinfrastructuuren laat kwaadaardig verkeer legitiem lijkenin een poging detectie te omzeilen. WIP26 gebruikt de backdoors CMD365 en CMDEmber om Microsoft 365 Mail en Google Firebase-diensten te misbruiken voor C2-doeleinden. Ook worden Microsoft Azure en Dropbox instances voor data-exfiltratie en malware hosting ingezet. De cybercriminelen achter WIP26 richten zich op telecomaanbieders in het Midden-Oosten.

Hoe WIP26 werkt
Door medewerkers via WhatsApp te verleiden tot het downloaden en uitvoeren van een malware loader, zet WIP26 de backdoors CMD365 en CMDEmber in die Microsoft 365 Mail en Google Firebase-instanties gebruiken als C2-servers. De belangrijkste functionaliteit van deze backdoors is het uitvoeren van door kwaadwillenden verstrekte systeemcommando's met behulp van de command interpreter in Windows.

Het gebruik van public cloudinfrastructuur voor C2-doeleinden is een poging om kwaadaardig C2-netwerkverkeer te maskeren en legitiem te laten lijken. Detectie wordt daardoor bemoeilijkt. De backdoors doen zich voor als hulpprogramma's, zoals een PDF-editor of een browser, en als software die updates uitvoert. Er wordt gebruik gemaakt van bestandsnamen, pictogrammen en digitale handtekeningen die van bestaande, legitieme softwareleveranciers afkomstig lijken.

Toeschrijving
SentinelOne gebruikt de aanduiding Work-In-Progress (WIPxx) voor dreigingen zonder directe toeschrijving. Dat telecomproviders in het Midden-Oosten het doelwit zijn, wijst erop dat de dreiging spionagedoeleinden heeft. Telecomproviders zijn vaak doelwit van spionage vanwege de gevoelige gegevens die zij bewaren. Ook zijn er aanwijzingen dat de dreiging gericht is op de privégegevens van gebruikers en op specifieke netwerkhosts.

De cybercriminelen achter WIP26 lijken echter enkele OPSEC-fouten te hebben gemaakt. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26.

Kwaadwillenden blijven innoveren om onzichtbaar te blijven. Het gebruik van public cloudinfrastructuur door APT-groepen komt dan ook vaker voor. Zo heeft de Noord-Koreaanse APT37 (InkySquid) de Microsoft Graph API gebruikt voor C2-operaties. De SIESTAGRAPH-backdoor gebruikt, zoals CMD365, de Microsoft Graph API om toegang te krijgen tot Microsoft 365 Mail voor C2-communicatie. Ook de groep DoNot, die bekend staat om aanvallen op non-profitorganisaties en overheidsfunctionarissen, heeft Google Firebase Cloud Messaging misbruikt om malware te kunnen plaatsen. Tot slot heeft APT28 (Fancy Bear) gebruik gemaakt van Microsoft OneDrive-diensten voor C2-doeleinden.

Conclusie
WIP26 is een relevant voorbeeld van kwaadwillenden die voortdurend innoveren in een poging om op onopvallende wijze de verdediging te omzeilen. Het gebruik van public cloudinfrastructuur voor het hosten van malware, data-exfiltratie en C2-doeleinden is erop gericht kwaadaardig verkeer legitiem te laten lijken. Dit geeft cybercriminelen de kans om hun activiteiten ongemerkt uit te voeren. SentinelLabs blijft WIP26 volgen om zo meer inzicht te bieden in de toeschrijving en de ontwikkeling van WIP26.

Bekijk het volledige rapport van SentinelLabs voor meer technische details: https://www.sentinelone.com/labs/wip26-espionage-threat-actors-abuse-cloud-infrastructure-in-targeted-telco-attacks/



Over SentinelOne
SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op www.sentinelone.com en op @SentinelOne, LinkedIn en Facebook.



Voor meer informatie
SentinelOne
Judith Veenhouwer
E-mail: judithv@sentinelone.com

Deepr
Nini Joostens / Winnie Silvertand
E-mail: sentinelone@deepr.nl
Geplaatst:
Verstreken tijd: 2 jaar en 16 dagen
SentinelOne contact  

Logo SentinelOne

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo RawWorks B.V.
Logo Easystart Office
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Companial
Logo 9altitudes Nederland BV
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo theMatchBox
Logo Companial
Logo Networking4ALL
Logo Frontline Solutions
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo We talk SEO B.V.
Logo JobQ
Logo Pulse4all B.V
Logo ManageEngine
Logo Kaspersky
Logo Vultr
Logo Deel
Logo SAS Nederland
Logo Infor
Logo ThreadStone Cyber Security
Logo ilionx
Logo SureSync
Logo Ctac
Logo Bidfood
Logo Conclusion
Logo Easystart Office
TARIEVEN
• Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
100679 persberichten
6761 bedrijfsprofielen
53 PR-bureauprofielen
15320 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
ProgressCommunications.euwww.marcommit.nlwww.lubbersdejong.nl
INFLUX PRProgressCommunications.euINFLUX PR