연구원들은 "Whiffy Recon" 악성 코드가 배포되는 것을 발견했습니다. SmokeLoader 봇넷는 피해자의 물리적 위치를 추적하는 Windows 시스템용 맞춤형 Wi-Fi 검색 실행 파일입니다.
Whiffy Recon은 많은 유럽 국가와 러시아에서 사용되는 Wi-Fi의 발음(미국식 "why fie" 대신 "wiffy")에서 이름을 따왔습니다. 보안 침해된 시스템에서 Wi-Fi 카드나 동글을 찾은 다음 60초마다 근처 Wi-Fi 액세스 포인트(AP)를 검색합니다. 이번 주 Secureworks Counter Threat Unit의 보고서.
그런 다음 AP 데이터를 Google의 지리 위치 API에 공급하여 감염된 시스템의 위치를 삼각 측량한 다음 위치 데이터를 알 수 없는 적에게 다시 보냅니다.
후속 공격을 위한 지리적 위치 데이터
Secureworks Counter Threat Unit의 위협 연구 책임자인 Rafe Pilling은 AP에 대한 스캐닝 간격이 60초이지만 각 위치가 저장되고 있는지 아니면 가장 최근 위치가 전송되는지는 확실하지 않다고 말합니다.
“작업자가 Wiffy Recon이 탑재된 노트북을 들고 있을 가능성이 있습니다. 매핑 가능 집과 회사를 오가는 여행”이라고 그는 말했다.
GuidePoint 보안 연구 및 인텔리전스 팀(GRIT)의 수석 분석가인 Drew Schmitt는 개인의 움직임에 대한 통찰력을 통해 행동이나 위치의 패턴을 확립하여 보다 구체적인 타겟팅이 가능해질 수 있다고 말합니다.
“특정 조직, 정부 또는 기타 단체에 속한 개인을 추적하는 데 사용될 수 있습니다.”라고 그는 말합니다. “공격자는 감염된 시스템이 물리적으로 민감한 위치에 있거나 특정 시간에 운영 성공 가능성과 영향력이 높은 특정 시간에 선택적으로 악성 코드를 배포할 수 있습니다.”
Tanium의 기술 계정 관리 수석 이사인 Shawn Suber는 보고서가 특정 산업이나 부문을 주요 표적으로 지정하지는 않았지만 "이러한 데이터는 간첩, 감시 또는 물리적 표적화에 유용할 수 있다"고 덧붙였습니다.
그는 이는 장기간의 사이버 간첩 활동에 참여하는 국가 후원 또는 국가 산하 단체가 캠페인의 배후에 있음을 나타낼 수 있다고 덧붙였습니다. 예를 들어, 이란의 APT35는 최근 캠페인에서 위치 정찰을 수행했습니다. 당시 연구자들에 따르면 잠재적인 물리적 공격을 목적으로 한 이스라엘 미디어 표적의 수입니다.
“여러 APT 그룹은 간첩, 감시, 물리적 표적화에 관심을 갖고 있는 것으로 알려져 있으며, 이는 종종 그들이 대표하는 국가의 정치적, 경제적, 군사적 목표에 따라 추진됩니다.”라고 그는 설명합니다.
SmokeLoader: 어트리뷰션 스모크스크린
감염 루틴은 악성 zip 아카이브를 포함하는 사회 공학 이메일로 시작됩니다. 이는 미끼 문서와 JavaScript 파일을 모두 포함하는 다중 언어 파일로 밝혀졌습니다.
그런 다음 JavaScript 코드를 사용하여 SmokeLoader 악성 코드를 실행합니다. 이 악성 코드는 감염된 시스템에 악성 코드를 설치하는 것 외에도 명령 및 제어(C2)로 엔드포인트를 등록합니다. 섬기는 사람 그것을 SmokeLoader 봇넷 내에 노드로 추가합니다.
결과적으로 SmokeLoader 감염은 지속적이며 그룹에 배포하려는 악성 코드가 있을 때까지 자신도 모르게 엔드포인트에 사용되지 않고 숨어 있을 수 있습니다. 다양한 위협 행위자가 봇넷에 대한 액세스 권한을 구매하므로 동일한 SmokeLoader 감염이 다양한 캠페인에 사용될 수 있습니다.
Pilling은 "단일 SmokeLoader 감염으로 인해 여러 악성 코드 변종이 전달되는 것을 관찰하는 것이 일반적입니다."라고 설명합니다. "SmokeLoader는 무차별적이며 전통적으로 재정적 동기를 지닌 사이버 범죄자들이 사용하고 운영합니다."
Schmitt는 서비스로서의 성격을 고려할 때 궁극적으로 누가 특정 상황의 배후에 있는지 말하기가 어렵다고 지적합니다. SmokeLoader를 초기 액세스 도구로 사용하는 사이버 캠페인.
“로더에 따라 감염된 시스템에 선택적으로 전달될 수 있는 페이로드는 최대 10~20개까지 있을 수 있습니다. 그 중 일부는 랜섬웨어 및 전자 범죄 공격과 관련이 있고 다른 일부는 동기가 다양합니다.”라고 그는 말합니다.
SmokeLoader 감염은 무차별적이기 때문에 지리적 위치 데이터를 수집하기 위해 Whiffy Recon을 사용하는 것은 더 많은 후속 조치 활동을 위한 목표를 좁히고 정의하려는 노력일 수 있습니다.
Schmitt는 "이 공격 순서가 계속 전개됨에 따라 Whiffy Recon이 더 큰 악용 후 체인의 일부로 어떻게 사용되는지 보는 것이 흥미로울 것입니다."라고 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :있다
- :이다
- :아니
- $UP
- 10
- 20
- 60
- a
- ACCESS
- 에 따르면
- 계정
- 계정 관리
- 활동
- 배우
- 또한
- 추가
- 수
- 미국 사람
- an
- 분석자
- 및
- 어떤
- API를
- APT
- 아카이브
- 있군요
- 배열
- AS
- At
- 공격
- 공격
- 뒤로
- BE
- 뒤에
- 존재
- 사이에
- 두
- 봇넷
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 사기
- by
- 운동
- 캠페인
- CAN
- 카드
- 운반 된
- 나르다
- 적재
- 체인
- 암호
- 공통의
- 손상된
- 계속
- 수
- 계수기
- 국가
- 사용자 정의
- 사이버 범죄자
- 데이터
- 밝히다
- 전달
- 의존
- 배포
- 배포
- 장치
- 다른
- 책임자
- 문서
- 하지
- 구동
- 적하
- 마다
- 간결한
- 노력
- 이메일
- 종점
- 엔드 포인트
- 참여
- 엔지니어링
- 엔티티
- 실재
- 스파이 활동
- 세우다
- 에테르 (ETH)
- 유럽
- 유럽 국가
- 모든
- 실행
- 설명
- 먹이
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 재정적으로
- 럭셔리
- 에
- 수집
- 주기
- 주어진
- 구글
- Government
- 그룹
- 여러 떼
- 하드
- 있다
- he
- 높은
- 홈
- 방법
- HTTPS
- if
- 영향
- in
- 표시
- 개인
- 산업
- 감염
- 감염
- 처음에는
- 통찰력
- 예
- 를 받아야 하는 미국 여행자
- 인텔리전스
- 흥미있는
- 이해
- 으로
- 이스라엘 인
- IT
- 그
- 자바 스크립트
- JPG
- 다만
- 알려진
- 휴대용 퍼스널 컴퓨터
- 큰
- 리드
- 짐을 싣는 사람
- 위치한
- 위치
- 위치
- 기계
- 악성 코드
- 구축
- .
- XNUMX월..
- 미디어
- 군
- 배우기
- 가장
- 동기 부여
- 동기
- 이동
- 여러
- name
- 연합
- 자연
- 노드
- 목표
- 관찰
- 발생
- of
- 자주
- on
- 운영
- 운영
- or
- 조직
- 기타
- 기타
- 아웃
- 부품
- 특별한
- 패턴
- 물리적
- 육체적으로
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 전철기
- 정치
- 위치
- 가능한
- 혹시
- 가능성
- 일차
- 확률
- 랜섬
- 최근
- 레지스터들
- 관련
- 신고
- 대표
- 연구
- 연구원
- 결과
- 러시아
- s
- 같은
- 라고
- 스캐닝
- 검색
- 초
- 부문
- 보안
- 참조
- 탐색
- 전송
- 연장자
- 민감한
- 순서
- 서비스
- 몇몇의
- 단일
- So
- 사회적
- 사회 공학
- 일부
- 구체적인
- 시작
- 저장
- 스트레인
- 성공
- 이러한
- 수술
- 감시
- 체계
- 시스템은
- 소요
- 목표
- 대상
- 목표
- 팀
- 테크니컬
- 이야기
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- 그들
- 이
- 이번 주
- 위협
- 위협 행위자
- 시간
- 시대
- 에
- 추적
- 전통적으로
- 여행
- 결국
- 궁극적으로
- 발견
- 단위
- 알 수없는
- 까지
- 미사용의
- us
- 사용
- 익숙한
- 사용
- 가치 있는
- 여러
- 피해자
- 필요
- 주
- 언제
- 여부
- 어느
- 동안
- 누구
- why
- Wi-Fi 접속 설비
- 넓은
- 의지
- 창
- 과
- 이내
- 노동자
- 겠지
- 줄 것이다
- 제퍼 넷
- 지퍼