Tutkijat ovat paljastaneet "Whiffy Recon" -haittaohjelman, jota on käyttänyt SmokeLoader-botnet, joka on Windows-järjestelmille räätälöity Wi-Fi-skannausohjelma, joka seuraa uhrien fyysistä sijaintia.
Whiffy Recon on saanut nimensä monissa Euroopan maissa ja Venäjällä käytetystä Wi-Fi:n ääntämyksestä ("wiffy" amerikkalaisen "why fie" sijaan). Se etsii Wi-Fi-kortteja tai dongleja vaarantuneista järjestelmistä ja etsii sitten lähellä olevia Wi-Fi-tukipisteitä (AP:t) 60 sekunnin välein. Raportti tällä viikolla Secureworks Counter Threat Unitilta.
Sitten se kolmiomittaa tartunnan saaneen järjestelmän sijainnin syöttämällä AP-tiedot Googlen geolocation API:hen ja lähettää sitten sijaintitiedot takaisin tuntemattomalle vastustajalle.
Maantieteelliset tiedot jatkohyökkäyksiä varten
Secureworks Counter Threat Unit -yksikön uhkatutkimuksen johtaja Rafe Pilling sanoo, että vaikka tukipisteiden tarkistusväli on 60 sekuntia, on epäselvää, tallennetaanko jokainen sijainti vai onko se vain viimeisin lähetetty sijainti.
”On mahdollista, että työntekijällä on kannettava tietokone, jossa on Whiffy Recon voidaan kartoittaa matkustaa kodin ja yrityksen välillä”, hän sanoo.
Drew Schmitt, GuidePoint Security Research and Intelligence Teamin (GRIT) johtava analyytikko, sanoo, että yksilöiden liikkeiden ymmärtäminen voi luoda käyttäytymismalleja tai paikkoja, jotka voivat mahdollistaa tarkemman kohdistamisen.
"Sitä voitaisiin käyttää tiettyyn organisaatioon, hallitukseen tai muuhun tahoon kuuluvien henkilöiden jäljittämiseen", hän sanoo. "Hyökkääjät voivat valikoivasti ottaa käyttöön haittaohjelmia, kun tartunnan saanut järjestelmä sijaitsee fyysisesti herkässä paikassa tai tiettyinä aikoina, mikä antaisi heille suuren toiminnan onnistumisen todennäköisyyden ja suuren vaikutuksen."
Shawn Surber, Taniumin teknisen tilihallinnan vanhempi johtaja, huomauttaa, että raportissa ei määritellä tiettyä toimialaa tai alaa ensisijaiseksi kohteeksi, mutta hän lisää, että "sellaiset tiedot voivat olla arvokkaita vakoilussa, valvonnassa tai fyysisessä kohdistamisessa".
Hän lisää, että tämä voi viitata siihen, että kampanjan takana ovat valtion tukemat tai siihen liittyvät tahot, jotka osallistuvat pitkiin kybervakoilukampanjoihin. Esimerkiksi, Iranin APT35 suoritti äskettäisessä kampanjassa sijainnin tiedustelua Israelin mediakohteista, mahdollisesti mahdollisten fyysisten hyökkäysten palveluksessa tuolloisten tutkijoiden mukaan.
"Useita APT-ryhmiä tunnetaan kiinnostuksestaan vakoilussa, tarkkailussa ja fyysisessä kohdistamisessa, usein edustamiensa kansakuntien poliittisten, taloudellisten tai sotilaallisten tavoitteiden johdosta", hän selittää.
SmokeLoader: Attribution Smokescreen
Tartuntarutiini alkaa manipulointisähköpostiviesteillä, jotka sisältävät haitallisen zip-arkiston. Se osoittautuu polyglottitiedostoksi, joka sisältää sekä houkutusasiakirjan että JavaScript-tiedoston.
JavaScript-koodia käytetään sitten SmokeLoader-haittaohjelman suorittamiseen, joka sen lisäksi, että se pudottaa haittaohjelman tartunnan saaneelle koneelle, rekisteröi päätepisteen komento- ja ohjaustoiminnolla (C2). palvelin ja lisää sen solmuksi SmokeLoader-bottiverkkoon.
Tämän seurauksena SmokeLoader-tartunnat ovat pysyviä ja voivat väijyä käyttämättöminä tahattomissa päätepisteissä, kunnes ryhmällä on haittaohjelmia, jotka he haluavat ottaa käyttöön. Useat uhkatoimijat ostavat pääsyn botnet-verkkoon, joten samaa SmokeLoader-infektiota voidaan käyttää monenlaisissa kampanjoissa.
"On tavallista, että havaitsemme useita haittaohjelmakantoja yhdelle SmokeLoader-tartunnalle", Pilling selittää. "SmokeLoader on umpimähkäinen, ja sitä käyttävät ja operoivat perinteisesti taloudellisesti motivoidut kyberrikolliset."
Schmitt huomauttaa, että sen palvelun luonteen vuoksi on vaikea sanoa, kuka lopulta on jonkin tietyn takana. kyberkampanja, joka käyttää SmokeLoaderia alkupääsytyökaluna.
"Lataatimesta riippuen voi olla jopa 10 tai 20 erilaista hyötykuormaa, jotka voidaan toimittaa valikoivasti tartunnan saaneisiin järjestelmiin, joista osa liittyy kiristysohjelmiin ja sähköisiin rikoshyökkäyksiin, kun taas toisilla on erilaisia motiiveja", hän sanoo.
Koska SmokeLoader-infektiot ovat umpimähkäisiä, Whiffy Reconin käyttö maantieteellisen paikannustietojen keräämiseen voi olla yritys kaventaa ja määrittää tavoitteita suuremmalle kirurgiselle jatkotoiminnalle.
"Kun tämä hyökkäyssarja jatkuu", Schmitt sanoo, "on mielenkiintoista nähdä, kuinka Whiffy Reconia käytetään osana suurempaa jälkikäyttöketjua."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :on
- :On
- :ei
- $ YLÖS
- 10
- 20
- 60
- a
- pääsy
- Mukaan
- Tili
- tilin hallinta
- toiminta
- toimijoiden
- Lisäksi
- Lisää
- sallia
- Amerikkalainen
- an
- analyytikko
- ja
- Kaikki
- api
- APT
- Archive
- OVAT
- Ryhmä
- AS
- At
- hyökkäys
- Hyökkäykset
- takaisin
- BE
- takana
- ovat
- välillä
- sekä
- botnet
- liiketoiminta
- mutta
- Ostetaan
- by
- Kampanja
- Kampanjat
- CAN
- Kortit
- kuljettaa
- kuljettaa
- kuljettaa
- ketju
- koodi
- Yhteinen
- Vaarantunut
- jatkuu
- voisi
- Laskuri
- maahan
- räätälöityjä
- verkkorikollisille
- tiedot
- määritellä
- toimitettu
- Riippuen
- sijoittaa
- käyttöön
- laite
- eri
- Johtaja
- asiakirja
- ei
- ajanut
- pudottamalla
- kukin
- Taloudellinen
- vaivaa
- sähköpostit
- päätepiste
- päätepisteet
- sitoutua
- Tekniikka
- yksiköt
- kokonaisuus
- vakoilu
- perustaa
- Eetteri (ETH)
- Eurooppalainen
- Eurooppalaiset maat
- Joka
- suorittaa
- selittää
- ruokinta
- filee
- taloudellisesti
- varten
- alkaen
- kerätä
- Antaa
- tietty
- Hallitus
- Ryhmä
- Ryhmän
- Kova
- Olla
- he
- Korkea
- Etusivu
- Miten
- HTTPS
- if
- Vaikutus
- in
- osoittaa
- henkilöt
- teollisuus
- infektio
- Infektiot
- ensimmäinen
- oivalluksia
- esimerkki
- sen sijaan
- Älykkyys
- mielenkiintoinen
- etu
- tulee
- israelilainen
- IT
- SEN
- JavaScript
- jpg
- vain
- tunnettu
- kannettava tietokone
- suurempi
- johtaa
- loader
- sijaitsevat
- sijainti
- sijainnit
- kone
- haittaohjelmat
- johto
- monet
- Saattaa..
- Media
- Sotilaallinen
- lisää
- eniten
- motivoituneita
- motiivit
- liikkeet
- moninkertainen
- nimi
- Nations
- luonto
- solmu
- tavoitteet
- tarkkailla
- tapahtua
- of
- usein
- on
- toimi
- toiminta-
- or
- organisaatio
- Muut
- Muuta
- ulos
- osa
- erityinen
- kuviot
- fyysinen
- fyysisesti
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- poliittinen
- sijainti
- mahdollinen
- mahdollisesti
- mahdollinen
- ensisijainen
- todennäköisyys
- ransomware
- äskettäinen
- rekisterit
- liittyvä
- raportti
- edustaa
- tutkimus
- Tutkijat
- johtua
- Venäjä
- s
- sama
- sanoo
- skannaus
- skannaa
- sekuntia
- sektori
- turvallisuus
- nähdä
- etsii
- lähettää
- vanhempi
- sensible
- Järjestys
- palvelu
- useat
- single
- So
- sosiaalinen
- Sosiaalinen insinööri
- jonkin verran
- erityinen
- alkaa
- tallennettu
- kantoja
- menestys
- niin
- kirurginen
- valvonta
- järjestelmä
- järjestelmät
- vie
- Kohde
- kohdistaminen
- tavoitteet
- joukkue-
- Tekninen
- kertoa
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- ne
- tätä
- tällä viikolla
- uhkaus
- uhka toimijat
- aika
- kertaa
- että
- Seuranta
- perinteisesti
- Matkustaminen
- kääntyy
- Lopulta
- kattamaton
- yksikkö
- tuntematon
- asti
- käyttämätön
- us
- käyttää
- käytetty
- käyttötarkoituksiin
- arvokas
- eri
- uhrit
- haluta
- viikko
- kun
- onko
- joka
- vaikka
- KUKA
- miksi
- Wi-fi
- leveä
- tulee
- ikkunat
- with
- sisällä
- työntekijä
- olisi
- antaisi
- zephyrnet
- Postinumero