Teadlased on avastanud pahavara "Whiffy Recon", mida kasutab SmokeLoaderi botnet, mis on Windowsi süsteemide jaoks kohandatud WiFi-skannimise käivitatav fail, mis jälgib ohvrite füüsilisi asukohti.
Whiffy Recon on oma nime saanud paljudes Euroopa riikides ja Venemaal kasutatava Wi-Fi häälduse järgi (ameerikapärase "why fie" asemel "wiffy"). See otsib ohustatud süsteemides WiFi-kaarte või dongleid ja otsib seejärel iga 60 sekundi järel läheduses asuvaid WiFi-pääsupunkte (AP-sid). Secureworks Counter Threat Unit selle nädala aruanne.
Seejärel trianguleerib see nakatunud süsteemi asukoha, sisestades AP andmed Google'i geograafilise asukoha määramise API-sse, ja saadab seejärel asukohaandmed tagasi tundmatule vastasele.
Geolokatsiooniandmed järelrünnakute jaoks
Secureworks Counter Threat Unit ohuuuringute direktor Rafe Pilling ütleb, et kuigi AP-de kontrollimiseks on 60-sekundiline intervall, pole selge, kas iga asukoht salvestatakse või on see kõige värskem asukoht.
«Võimalik, et töötaja kannab sülearvutit, millel on Whiffy Recon saab kaardistada reisides kodu ja ettevõtte asukoha vahel,” ütleb ta.
GuidePointi turbeuuringute ja luurerühma (GRIT) juhtivanalüütik Drew Schmitt ütleb, et üksikisikute liikumiste mõistmine võib luua käitumismustreid või asukohti, mis võivad võimaldada täpsemat sihtimist.
"Seda saab kasutada konkreetsesse organisatsiooni, valitsusse või muusse üksusse kuuluvate isikute jälgimiseks, " ütleb ta. "Ründajad võivad ründevara valikuliselt juurutada, kui nakatunud süsteem asub füüsiliselt tundlikus kohas või kindlatel kellaaegadel, mis annab neile suure tõenäosuse töö eduks ja suure mõju."
Taniumi tehnilise kontohalduse vanemdirektor Shawn Surber juhib tähelepanu sellele, et aruanne ei täpsusta konkreetset tööstusharu või sektorit peamise sihtmärgina, kuid lisab, et "sellised andmed võivad olla väärtuslikud spionaaži, jälgimise või füüsilise sihtimise jaoks."
Ta lisab, et see võib viidata sellele, et kampaania taga on riigi toetatud või riigiga seotud üksused, kes tegelevad pikaajaliste küberspionaažikampaaniatega. Näiteks, Iraani APT35 viis hiljutises kampaanias läbi asukohaluure Iisraeli meedia sihtmärkidest, mis võivad tollaste teadlaste sõnul olla potentsiaalsete füüsiliste rünnakute teenistuses.
"Mitmed APT rühmad on tuntud oma spionaaži, jälgimise ja füüsilise sihtimise huvide poolest, mis on sageli ajendatud esindatavate riikide poliitilistest, majanduslikest või sõjalistest eesmärkidest," selgitab ta.
SmokeLoader: Attribution Smokescreen
Nakatumise rutiin algab sotsiaalse manipuleerimise e-kirjadega, mis sisaldavad pahatahtlikku ZIP-arhiivi. See osutub polüglotifailiks, mis sisaldab nii peibutusdokumenti kui ka JavaScripti faili.
Seejärel kasutatakse JavaScripti koodi SmokeLoaderi pahavara käivitamiseks, mis lisaks ründevara nakatunud masinale laskmisele registreerib lõpp-punkti käsu-ja-juhtimisseadmega (C2). server ja lisab selle SmokeLoaderi robotvõrgu sõlmena.
Selle tulemusena on SmokeLoaderi nakkused püsivad ja võivad varjata tahtmatuid lõpp-punkte, kuni rühmal on pahavara, mida nad soovivad juurutada. Botivõrgule ostavad juurdepääsu erinevad ohus osalejad, nii et sama SmokeLoaderi nakkust saab kasutada paljudes kampaaniates.
"Meil on tavaline, et ühele SmokeLoaderi infektsioonile edastatakse mitu pahavara tüve," selgitab Pilling. "SmokeLoader on valimatu ning seda kasutavad ja juhivad traditsiooniliselt rahaliselt motiveeritud küberkurjategijad."
Schmitt juhib tähelepanu sellele, et võttes arvesse selle teenuse olemust, on raske öelda, kes on lõppkokkuvõttes mõne konkreetse taga küberkampaania, mis kasutab SmokeLoaderit esialgse juurdepääsutööriistana.
"Sõltuvalt laadurist võib nakatunud süsteemidesse valikuliselt edastada kuni 10 või 20 erinevat kasulikku koormust, millest mõned on seotud lunavara ja e-kuritegevuse rünnakutega, samas kui teistel on erinev motivatsioon," ütleb ta.
Kuna SmokeLoaderi infektsioonid on valimatud, võib Whiffy Reconi kasutamine geograafilise asukoha andmete kogumiseks olla pingutuseks kitsendada ja määratleda sihtmärke kirurgilisema järeltegevuse jaoks.
"Kuna see ründejada areneb edasi, " ütleb Schmitt, "on huvitav näha, kuidas Whiffy Reconi kasutatakse suurema ekspluateerimisjärgse ahela osana."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :on
- :on
- :mitte
- $ UP
- 10
- 20
- 60
- a
- juurdepääs
- Vastavalt
- konto
- konto haldamine
- tegevus
- osalejad
- lisamine
- Lisab
- võimaldama
- ameerika
- an
- analüütik
- ja
- mistahes
- API
- APT
- Arhiiv
- OLEME
- Array
- AS
- At
- rünnak
- Reageerib
- tagasi
- BE
- taga
- on
- vahel
- mõlemad
- bot
- äri
- kuid
- ostma
- by
- Kampaania
- Kampaaniad
- CAN
- Kaardid
- kaasas
- viima
- kes
- kett
- kood
- ühine
- Kompromissitud
- pidev
- võiks
- Võidelda
- riikides
- kohandatud
- küberkurjategijad
- andmed
- määratlema
- esitatud
- Olenevalt
- juurutada
- lähetatud
- seade
- erinev
- Juhataja
- dokument
- ei
- ajendatud
- Kukkumine
- iga
- Majanduslik
- jõupingutusi
- kirju
- Lõpp-punkt
- lõpp-punktid
- tegelema
- Inseneriteadus
- üksuste
- üksus
- spionaaž
- looma
- Eeter (ETH)
- Euroopa
- Euroopa riigid
- Iga
- täitma
- Selgitab
- toitmine
- fail
- rahaliselt
- eest
- Alates
- koguma
- Andma
- antud
- Valitsus
- Grupp
- Grupi omad
- Raske
- Olema
- he
- Suur
- Avaleht
- Kuidas
- HTTPS
- if
- mõju
- in
- näitama
- inimesed
- tööstus
- infektsioon
- Infektsioonid
- esialgne
- teadmisi
- Näiteks
- selle asemel
- Intelligentsus
- huvitav
- el
- sisse
- Iisraeli
- IT
- ITS
- JavaScript
- jpg
- lihtsalt
- teatud
- sülearvuti
- suurem
- viima
- laadur
- asub
- liising
- kohad
- masin
- malware
- juhtimine
- palju
- mai..
- Meedia
- Sõjaline
- rohkem
- kõige
- motiveeritud
- motivatsioon
- liikumised
- mitmekordne
- nimi
- Rahvaste
- loodus
- sõlme
- eesmärgid
- jälgima
- esineda
- of
- sageli
- on
- tegutses
- töökorras
- or
- organisatsioon
- Muu
- teised
- välja
- osa
- eriline
- mustrid
- füüsiline
- Füüsiliselt
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võrra
- poliitiline
- positsioon
- võimalik
- võimalik
- potentsiaal
- esmane
- tõenäosus
- ransomware
- hiljuti
- registrite
- seotud
- aru
- esindama
- teadustöö
- Teadlased
- kaasa
- Venemaa
- s
- sama
- ütleb
- skaneerimine
- skaneerib
- sekundit
- sektor
- turvalisus
- vaata
- Otsib
- saadab
- vanem
- tundlik
- Jada
- teenus
- mitu
- ühekordne
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- mõned
- konkreetse
- algab
- ladustatud
- Tüved
- edu
- selline
- kirurgiline
- järelevalve
- süsteem
- süsteemid
- võtab
- sihtmärk
- sihtimine
- eesmärgid
- meeskond
- Tehniline
- öelda
- et
- .
- oma
- Neile
- SIIS
- Seal.
- nad
- see
- sel nädalal
- oht
- ohus osalejad
- aeg
- korda
- et
- Jälgimine
- traditsiooniliselt
- Reisimine
- lülitub
- lõpuks
- katteta
- üksus
- tundmatu
- kuni
- kasutamata
- us
- kasutama
- Kasutatud
- kasutusalad
- väärtuslik
- eri
- ohvreid
- tahan
- nädal
- millal
- kas
- mis
- kuigi
- WHO
- miks
- Wifi
- lai
- will
- aknad
- koos
- jooksul
- töötaja
- oleks
- annaks
- sephyrnet
- Tõmblukk