A kutatók felfedezték a „Whiffy Recon” kártevőt, amelyet a SmokeLoader botnet, amely egy testreszabott Wi-Fi szkennelő futtatható program Windows rendszerek számára, amely nyomon követi az áldozatok fizikai helyét.
A Whiffy Recon nevét a számos európai országban és Oroszországban használt Wi-Fi kiejtéséről kapta („wiffy” az amerikai „why fie” helyett). Megkeresi a Wi-Fi kártyákat vagy hardverkulcsokat a feltört rendszereken, majd 60 másodpercenként megkeresi a közeli Wi-Fi hozzáférési pontokat (AP) a Secureworks Counter Threat Unit e heti jelentése.
Ezt követően háromszögbe állítja a fertőzött rendszer helyzetét úgy, hogy az AP-adatokat betáplálja a Google földrajzi helymeghatározó API-jába, majd visszaküldi a helyadatokat egy ismeretlen ellenfélnek.
Helymeghatározási adatok a következő támadásokhoz
Rafe Pilling, a Secureworks Counter Threat Unit fenyegetéskutatási igazgatója azt mondja, hogy bár van egy 60 másodperces szkennelési intervallum az AP-k számára, nem világos, hogy az egyes helyeket tárolják-e, vagy csak a legutóbbi pozíciót küldték-e el.
„Lehetséges, hogy egy dolgozó hordoz egy laptopot, amelyen Whiffy Recon van feltérképezhető az otthoni és az üzleti helyek között utazni” – mondja.
Drew Schmitt, a GuidePoint Security Research and Intelligence Team (GRIT) vezető elemzője szerint az egyének mozgásába való betekintés olyan viselkedési vagy helyszíni mintákat hozhat létre, amelyek specifikusabb célzást tesznek lehetővé.
„Használható egy adott szervezethez, kormányhoz vagy más entitáshoz tartozó egyének nyomon követésére” – mondja. "A támadók szelektíven telepíthetnek rosszindulatú programokat, ha a fertőzött rendszer fizikailag érzékeny helyen található, vagy meghatározott időpontokban, ami nagy valószínűséggel sikeres működést és nagy hatást biztosít számukra."
Shawn Surber, a Tanium műszaki számlakezelésért felelős vezető igazgatója rámutat, hogy a jelentés nem határoz meg egy adott iparágat vagy ágazatot elsődleges célpontként, de hozzáteszi, „az ilyen adatok értékesek lehetnek kémkedés, megfigyelés vagy fizikai célzás szempontjából”.
Hozzáteszi, ez arra utalhat, hogy a kampány mögött államilag támogatott vagy államilag kapcsolódó szervezetek állnak, amelyek elhúzódó kiberkémkampányokat folytatnak. Például, Az iráni APT35 egy közelmúltbeli kampányban helyszíni felderítést végzett Az akkori kutatók szerint az izraeli médiacélpontok egyike, valószínűleg fizikai támadások szolgálatában.
„Számos APT-csoport ismert a kémkedés, megfigyelés és fizikai célzás iránti érdeklődéséről, amelyeket gyakran az általuk képviselt nemzetek politikai, gazdasági vagy katonai céljai vezérelnek” – magyarázza.
SmokeLoader: Attribution Smokescreen
A fertőzési rutin a social engineering e-mailekkel kezdődik, amelyek rosszindulatú zip archívumot tartalmaznak. Kiderült, hogy ez egy poliglott fájl, amely csalidokumentumot és JavaScript fájlt is tartalmaz.
A JavaScript kódot ezután a SmokeLoader rosszindulatú program végrehajtására használják, amely amellett, hogy a rosszindulatú programokat a fertőzött gépre dobja, a végpontot egy parancs- és vezérléssel (C2) regisztrálja. szerver és csomópontként hozzáadja a SmokeLoader botnethez.
Ennek eredményeként a SmokeLoader fertőzések tartósak, és használaton kívül leselkedhetnek a nem szándékos végpontokra, amíg egy csoportnak nem lesz olyan rosszindulatú programja, amelyet telepíteni akar. Különféle fenyegetés szereplői vásárolnak hozzáférést a botnethez, így ugyanaz a SmokeLoader-fertőzés számos kampányban használható.
„Gyakori, hogy egy SmokeLoader fertőzéshez több rosszindulatú programtörzs is eljut” – magyarázza Pilling. "A SmokeLoadert válogatás nélkül használják, és hagyományosan pénzügyileg motivált kiberbűnözők használják és üzemeltetik."
Schmitt rámutat, hogy a szolgáltatás jellegéből adódóan nehéz megmondani, hogy végül ki áll az adott mögött. kiberkampány, amely a SmokeLoader-t használja kezdeti hozzáférési eszközként.
„A betöltőtől függően akár 10 vagy 20 különböző rakomány is lehet, amelyek szelektíven eljuttathatók a fertőzött rendszerekhez, amelyek egy része ransomware és e-crime támadásokhoz kapcsolódik, míg másoknak eltérő a motivációja” – mondja.
Mivel a SmokeLoader fertőzések válogatás nélkül történnek, a Whiffy Recon használata a földrajzi helyadatok gyűjtésére erőfeszítés lehet a további sebészeti beavatkozások célpontjainak szűkítésére és meghatározására.
„Ahogy ez a támadási sorozat tovább fejlődik” – mondja Schmitt, „érdekes lesz látni, hogyan használják a Whiffy Recon-t egy nagyobb, kizsákmányolás utáni lánc részeként.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :van
- :is
- :nem
- $ UP
- 10
- 20
- 60
- a
- hozzáférés
- Szerint
- Fiók
- számlavezetés
- tevékenység
- szereplők
- mellett
- Hozzáteszi
- lehetővé
- Amerikai
- an
- elemző
- és a
- bármilyen
- api
- APT
- Archív
- VANNAK
- Sor
- AS
- At
- támadás
- Támadások
- vissza
- BE
- mögött
- hogy
- között
- mindkét
- botnet
- üzleti
- de
- megvesz
- by
- Kampány
- Kampányok
- TUD
- Kártyák
- végrehajtott
- visz
- szállítás
- lánc
- kód
- Közös
- Veszélyeztetett
- tovább
- tudott
- Számláló
- országok
- szabott
- kiberbűnözők
- dátum
- meghatározott
- szállított
- attól
- telepíteni
- telepített
- eszköz
- különböző
- Igazgató
- dokumentum
- nem
- hajtott
- Csepegés
- minden
- Gazdasági
- erőfeszítés
- e-mailek
- Endpoint
- végpontok
- vegyenek
- Mérnöki
- Szervezetek
- egység
- kémkedés
- létrehozni
- Eter (ETH)
- európai
- Európai országok
- Minden
- kivégez
- Elmagyarázza
- táplálás
- filé
- pénzügyileg
- A
- ból ből
- gyűjt
- Ad
- adott
- Kormány
- Csoport
- Csoportok
- Kemény
- Legyen
- he
- Magas
- Kezdőlap
- Hogyan
- HTTPS
- if
- Hatás
- in
- jelez
- egyének
- ipar
- fertőzés
- Fertőzések
- kezdetben
- meglátások
- példa
- helyette
- Intelligencia
- érdekes
- érdekek
- bele
- izraeli
- IT
- ITS
- JavaScript
- jpg
- éppen
- ismert
- hordozható számítógép
- nagyobb
- vezet
- rakodó
- található
- elhelyezkedés
- helyszínek
- gép
- malware
- vezetés
- sok
- Lehet..
- Média
- Katonai
- több
- a legtöbb
- motivált
- motivációk
- mozgások
- többszörös
- név
- Nemzetek
- Természet
- csomópont
- célok
- megfigyelni
- előfordul
- of
- gyakran
- on
- hajtású
- operatív
- or
- szervezet
- Más
- Egyéb
- ki
- rész
- különös
- minták
- fizikai
- fizikailag
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- politikai
- pozíció
- lehetséges
- esetleg
- potenciális
- elsődleges
- valószínűség
- ransomware
- új
- nyilvántartások
- összefüggő
- jelentést
- képvisel
- kutatás
- kutatók
- eredményez
- Oroszország
- s
- azonos
- azt mondja,
- letapogatás
- vizsgál
- másodperc
- szektor
- biztonság
- lát
- Keresi
- küld
- idősebb
- érzékeny
- Sorozat
- szolgáltatás
- számos
- egyetlen
- So
- Közösség
- Szociális tervezés
- néhány
- különleges
- kezdődik
- memorizált
- törzsek
- siker
- ilyen
- sebészeti
- felügyelet
- rendszer
- Systems
- tart
- cél
- célzás
- célok
- csapat
- Műszaki
- mondd
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- ők
- ezt
- ezen a héten
- fenyegetés
- fenyegetés szereplői
- idő
- alkalommal
- nak nek
- Csomagkövetés
- hagyományosan
- Utazó
- fordul
- Végül
- fedetlen
- egység
- ismeretlen
- -ig
- felhasználatlan
- us
- használ
- használt
- használ
- Értékes
- különféle
- áldozatok
- akar
- hét
- amikor
- vajon
- ami
- míg
- WHO
- miért
- Wi-fi
- széles
- lesz
- ablakok
- val vel
- belül
- munkás
- lenne
- adna
- zephyrnet
- Postai irányítószám