Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό «Whiffy Recon» που αναπτύσσεται από την Botnet SmokeLoader, η οποία είναι μια προσαρμοσμένη σάρωση Wi-Fi εκτελέσιμο για συστήματα Windows που παρακολουθεί τις φυσικές τοποθεσίες των θυμάτων.
Το Whiffy Recon πήρε το όνομά του από την προφορά του Wi-Fi που χρησιμοποιείται σε πολλές ευρωπαϊκές χώρες και τη Ρωσία («wiffy» αντί για το αμερικανικό «why fie»). Αναζητά κάρτες Wi-Fi ή dongles σε παραβιασμένα συστήματα και στη συνέχεια σαρώνει για κοντινά σημεία πρόσβασης Wi-Fi (APs) κάθε 60 δευτερόλεπτα, σύμφωνα με μια αναφορά αυτή την εβδομάδα από την Secureworks Counter Threat Unit.
Στη συνέχεια, τριγωνοποιεί τη θέση του μολυσμένου συστήματος τροφοδοτώντας τα δεδομένα του AP στο API γεωγραφικής τοποθεσίας της Google και στη συνέχεια στέλνει τα δεδομένα τοποθεσίας πίσω σε έναν άγνωστο αντίπαλο.
Δεδομένα γεωγραφικής θέσης για επακόλουθες επιθέσεις
Ο Rafe Pilling, διευθυντής έρευνας απειλών για την Secureworks Counter Threat Unit, λέει ότι ενώ υπάρχει ένα διάστημα σάρωσης 60 δευτερολέπτων για AP, δεν είναι σαφές εάν κάθε τοποθεσία αποθηκεύεται ή αν είναι απλώς η πιο πρόσφατη θέση που μεταδόθηκε.
«Είναι πιθανό ένας εργαζόμενος να κουβαλάει φορητό υπολογιστή με Whiffy Recon πάνω του μπορεί να χαρτογραφηθεί ταξιδεύοντας μεταξύ οικιών και επαγγελματικών τοποθεσιών», λέει.
Ο Drew Schmitt, επικεφαλής αναλυτής στο GuidePoint Security Research and Intelligence Team (GRIT), λέει ότι οι πληροφορίες για τις κινήσεις των ατόμων μπορεί να δημιουργήσουν μοτίβα στη συμπεριφορά ή τοποθεσίες που μπορεί να επιτρέψουν την εμφάνιση πιο συγκεκριμένης στόχευσης.
«Θα μπορούσε να χρησιμοποιηθεί για την παρακολούθηση ατόμων που ανήκουν σε συγκεκριμένο οργανισμό, κυβέρνηση ή άλλη οντότητα», λέει. «Οι εισβολείς θα μπορούσαν να αναπτύξουν επιλεκτικά κακόβουλο λογισμικό όταν το μολυσμένο σύστημα βρίσκεται φυσικά σε μια ευαίσθητη τοποθεσία ή σε συγκεκριμένες στιγμές που θα τους έδινε μεγάλη πιθανότητα επιχειρησιακής επιτυχίας και μεγάλο αντίκτυπο».
Ο Shawn Surber, ανώτερος διευθυντής τεχνικής διαχείρισης λογαριασμών στο Tanium, επισημαίνει ότι η έκθεση δεν προσδιορίζει έναν συγκεκριμένο κλάδο ή τομέα ως πρωταρχικό στόχο, αλλά προσθέτει, «τέτοια δεδομένα θα μπορούσαν να είναι πολύτιμα για κατασκοπεία, παρακολούθηση ή φυσική στόχευση».
Προσθέτει ότι αυτό θα μπορούσε να υποδηλώνει ότι πίσω από την εκστρατεία βρίσκονται κρατικές ή συνδεδεμένες με το κράτος οντότητες που εμπλέκονται σε παρατεταμένες εκστρατείες κυβερνοκατασκοπείας. Για παράδειγμα, Το APT35 του Ιράν σε μια πρόσφατη εκστρατεία πραγματοποίησε αναγνώριση τοποθεσίας στόχων ισραηλινών μέσων ενημέρωσης, πιθανώς σε υπηρεσία πιθανών σωματικών επιθέσεων σύμφωνα με τους ερευνητές εκείνης της εποχής.
«Πολλές ομάδες APT είναι γνωστές για τα ενδιαφέροντά τους στην κατασκοπεία, την παρακολούθηση και τη φυσική στόχευση, που συχνά οδηγούνται από τους πολιτικούς, οικονομικούς ή στρατιωτικούς στόχους των εθνών που εκπροσωπούν», εξηγεί.
SmokeLoader: An Attribution Smokescreen
Η ρουτίνα μόλυνσης ξεκινά με μηνύματα ηλεκτρονικού ταχυδρομείου κοινωνικής μηχανικής που φέρουν ένα κακόβουλο αρχείο zip. Αυτό αποδεικνύεται ότι είναι ένα αρχείο πολυγλωσσίας που περιέχει και ένα έγγραφο δόλωμα και ένα αρχείο JavaScript.
Στη συνέχεια, ο κώδικας JavaScript χρησιμοποιείται για την εκτέλεση του κακόβουλου λογισμικού SmokeLoader, το οποίο, εκτός από την απόθεση κακόβουλου λογισμικού σε ένα μολυσμένο μηχάνημα, καταγράφει το τελικό σημείο με μια εντολή και έλεγχος (C2) διακομιστής και το προσθέτει ως κόμβο στο botnet SmokeLoader.
Ως αποτέλεσμα, οι μολύνσεις του SmokeLoader είναι επίμονες και μπορεί να παραμονεύουν αχρησιμοποίητες σε ακούσια τελικά σημεία έως ότου μια ομάδα έχει κακόβουλο λογισμικό που θέλει να αναπτύξει. Διάφοροι παράγοντες απειλών αγοράζουν πρόσβαση στο botnet, επομένως η ίδια μόλυνση SmokeLoader μπορεί να χρησιμοποιηθεί σε ένα ευρύ φάσμα καμπανιών.
«Είναι σύνηθες να παρατηρούμε πολλαπλά στελέχη κακόβουλου λογισμικού να παραδίδονται σε μία μόνο μόλυνση SmokeLoader», εξηγεί ο Pilling. "Το SmokeLoader είναι αδιάκριτο και παραδοσιακά χρησιμοποιείται και λειτουργεί από κυβερνοεγκληματίες με οικονομικά κίνητρα."
Ο Schmitt επισημαίνει ότι δεδομένης της φύσης του ως υπηρεσίας, είναι δύσκολο να πει κανείς ποιος είναι τελικά πίσω από κάθε δεδομένο καμπάνια στον κυβερνοχώρο που χρησιμοποιεί το SmokeLoader ως εργαλείο αρχικής πρόσβασης.
«Ανάλογα με τον φορτωτή, θα μπορούσαν να υπάρχουν έως και 10 ή 20 διαφορετικά ωφέλιμα φορτία που θα μπορούσαν να παραδοθούν επιλεκτικά σε μολυσμένα συστήματα, μερικά από τα οποία σχετίζονται με επιθέσεις ransomware και ηλεκτρονικού εγκλήματος ενώ άλλα έχουν διαφορετικά κίνητρα», λέει.
Δεδομένου ότι οι λοιμώξεις από το SmokeLoader είναι αδιάκριτες, η χρήση του Whiffy Recon για τη συλλογή δεδομένων γεωγραφικής θέσης μπορεί να είναι μια προσπάθεια για τον περιορισμό και τον καθορισμό στόχων για περισσότερη επακόλουθη χειρουργική δραστηριότητα.
«Καθώς αυτή η ακολουθία επίθεσης συνεχίζει να ξεδιπλώνεται», λέει ο Schmitt, «θα είναι ενδιαφέρον να δούμε πώς χρησιμοποιείται το Whiffy Recon ως μέρος μιας μεγαλύτερης αλυσίδας μετά την εκμετάλλευση».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :έχει
- :είναι
- :δεν
- $UP
- 10
- 20
- 60
- a
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- διαχείριση λογαριασμών
- δραστηριότητα
- φορείς
- Επιπλέον
- Προσθέτει
- επιτρέπουν
- Αμερικανικη
- an
- αναλυτής
- και
- κάθε
- api
- APT
- Αρχείο
- ΕΙΝΑΙ
- Παράταξη
- AS
- At
- επίθεση
- Επιθέσεις
- πίσω
- BE
- πίσω
- είναι
- μεταξύ
- και οι δύο
- botnet
- επιχείρηση
- αλλά
- αγορά
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- Κάρτες
- που
- κουβαλάω
- μεταφέρουν
- αλυσίδα
- κωδικός
- Κοινός
- Συμβιβασμένος
- συνεχίζεται
- θα μπορούσε να
- μετρητής
- χώρες
- προσαρμοσμένη
- εγκληματίες του κυβερνοχώρου
- ημερομηνία
- ορίζεται
- παραδίδεται
- Σε συνάρτηση
- παρατάσσω
- αναπτυχθεί
- συσκευή
- διαφορετικές
- Διευθυντής
- έγγραφο
- κάνει
- οδηγείται
- Ρίψη
- κάθε
- Οικονομικός
- προσπάθεια
- Τελικό σημείο
- τελικά σημεία
- ασκούν
- Μηχανική
- οντότητες
- οντότητα
- κατασκοπεία
- εγκαθιδρύω
- Αιθέρας (ΕΤΗ)
- ευρωπαϊκός
- ΕΥΡΩΠΑΙΚΕΣ ΧΩΡΕΣ
- Κάθε
- εκτελέσει
- Εξηγεί
- σίτιση
- Αρχεία
- οικονομικά
- Για
- από
- συγκεντρώνουν
- Δώστε
- δεδομένου
- Κυβέρνηση
- Group
- Ομάδα
- Σκληρά
- Έχω
- he
- Ψηλά
- Αρχική
- Πως
- HTTPS
- if
- Επίπτωση
- in
- υποδεικνύω
- άτομα
- βιομηχανία
- λοίμωξη
- Λοιμώξεις
- αρχικός
- ιδέες
- παράδειγμα
- αντί
- Νοημοσύνη
- ενδιαφέρον
- συμφέροντα
- σε
- Ισραηλίτης
- IT
- ΤΟΥ
- το JavaScript
- jpg
- μόλις
- γνωστός
- laptop
- μεγαλύτερος
- οδηγήσει
- φορτωτής
- που βρίσκεται
- τοποθεσία
- θέσεις
- μηχανή
- malware
- διαχείριση
- πολοί
- Ενδέχεται..
- Εικόνες / Βίντεο
- Στρατιωτικός
- περισσότερο
- πλέον
- κίνητρα
- κίνητρα
- κινήσεις
- πολλαπλούς
- όνομα
- Εθνών
- Φύση
- κόμβος
- στόχοι
- παρατηρούμε
- συμβούν
- of
- συχνά
- on
- λειτουργεί
- επιχειρήσεων
- or
- επιχειρήσεις
- ΑΛΛΑ
- Άλλα
- έξω
- μέρος
- Ειδικότερα
- πρότυπα
- φυσικός
- Φυσικώς
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- πολιτικός
- θέση
- δυνατός
- πιθανώς
- δυναμικού
- πρωταρχικός
- πιθανότητα
- ransomware
- πρόσφατος
- μητρώα
- σχετίζεται με
- αναφέρουν
- εκπροσωπώ
- έρευνα
- ερευνητές
- αποτέλεσμα
- Russia
- s
- ίδιο
- λέει
- σάρωσης
- σαρώσεις
- δευτερόλεπτα
- τομέας
- ασφάλεια
- δείτε
- Επιδιώκει
- αποστέλλει
- αρχαιότερος
- ευαίσθητος
- Ακολουθία
- υπηρεσία
- διάφοροι
- ενιαίας
- So
- Μ.Κ.Δ
- Κοινωνική μηχανική
- μερικοί
- συγκεκριμένες
- ξεκινά
- αποθηκεύονται
- Στελέχη
- επιτυχία
- τέτοιος
- χειρουργικός
- επιτήρηση
- σύστημα
- συστήματα
- παίρνει
- στόχος
- στόχευση
- στόχους
- Τεχνικός
- πει
- ότι
- Η
- τους
- Τους
- τότε
- Εκεί.
- αυτοί
- αυτό
- αυτή την εβδομάδα
- απειλή
- απειλή
- ώρα
- φορές
- προς την
- Παρακολούθηση
- παραδοσιακά
- Ταξίδια
- μετατρέπει
- τελικά
- ακάλυπτος
- μονάδα
- άγνωστος
- μέχρι
- αχρησιμοποίητος
- us
- χρήση
- μεταχειρισμένος
- χρησιμοποιεί
- Πολύτιμος
- διάφορα
- θύματα
- θέλω
- εβδομάδα
- πότε
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- WHY
- Wi-Fi
- ευρύς
- θα
- παράθυρα
- με
- εντός
- εργάτης
- θα
- θα έδινα
- zephyrnet
- Zip