Badacze odkryli szkodliwe oprogramowanie „Whiffy Recon” wdrażane przez firmę Botnet SmokeLoader, który jest dostosowanym plikiem wykonywalnym do skanowania Wi-Fi dla systemów Windows, który śledzi fizyczne lokalizacje ofiar.
Whiffy Recon wziął swoją nazwę od wymowy Wi-Fi używanej w wielu krajach Europy i Rosji („wiffy” zamiast amerykańskiego „why fie”). Wyszukuje karty lub klucze Wi-Fi w zaatakowanych systemach, a następnie co 60 sekund skanuje w poszukiwaniu pobliskich punktów dostępu Wi-Fi (AP). raport z tego tygodnia z Jednostki ds. przeciwdziałania zagrożeniom Secureworks.
Następnie trianguluje pozycję zainfekowanego systemu, wprowadzając dane AP do API geolokalizacji Google, a następnie wysyła dane o lokalizacji z powrotem do nieznanego przeciwnika.
Dane geolokalizacyjne na potrzeby kolejnych ataków
Rafe Pilling, dyrektor ds. badań zagrożeń w jednostce przeciwdziałającej zagrożeniom Secureworks, twierdzi, że chociaż odstęp skanowania punktów dostępowych wynosi 60 sekund, nie jest jasne, czy zapisywane są poszczególne lokalizacje, czy też przesyłana jest tylko ostatnia pozycja.
„Możliwe, że pracownik nosi laptopa z Whiffy Recon można zmapować podróżując między domem a lokalizacją firmy” – mówi.
Drew Schmitt, główny analityk w zespole ds. badań i wywiadu dotyczącym bezpieczeństwa GuidePoint (GRIT), twierdzi, że wgląd w przemieszczanie się osób może ustalić wzorce zachowań lub lokalizacji, które mogą pozwolić na bardziej szczegółowe namierzanie.
„Można go używać do śledzenia osób należących do określonej organizacji, rządu lub innego podmiotu” – mówi. „Osoby atakujące mogą selektywnie wdrażać złośliwe oprogramowanie, gdy zainfekowany system jest fizycznie zlokalizowany we wrażliwym miejscu lub w określonym czasie, co daje im duże prawdopodobieństwo powodzenia operacyjnego i dużego wpływu”.
Shawn Surber, starszy dyrektor ds. technicznego zarządzania klientami w Tanium, zwraca uwagę, że w raporcie nie określono konkretnej branży ani sektora jako głównego celu, ale dodaje: „takie dane mogą być cenne dla szpiegostwa, inwigilacji lub namierzania fizycznego”.
Dodaje, że może to wskazywać, że za kampanią stoją podmioty sponsorowane przez państwo lub z nim powiązane, które angażują się w długotrwałe kampanie cyberszpiegowskie. Na przykład, Irański APT35 podczas niedawnej kampanii przeprowadził rekonesans lokalizacyjny Według ówczesnych badaczy izraelskich celów medialnych prawdopodobnie służyło potencjalnym atakom fizycznym.
„Kilka grup APT jest znanych ze swoich zainteresowań szpiegostwem, inwigilacją i atakami fizycznymi, często motywowanymi celami politycznymi, gospodarczymi lub wojskowymi narodów, które reprezentują” – wyjaśnia.
SmokeLoader: zasłona dymna przypisania
Procedura infekcji rozpoczyna się od wiadomości e-mail zawierających socjotechnikę, które zawierają złośliwe archiwum ZIP. Okazuje się, że jest to plik poliglota zawierający zarówno dokument-wabik, jak i plik JavaScript.
Kod JavaScript jest następnie używany do uruchomienia szkodliwego oprogramowania SmokeLoader, które oprócz upuszczania złośliwego oprogramowania na zainfekowaną maszynę rejestruje punkt końcowy za pomocą polecenia i kontroli (C2). serwer i dodaje go jako węzeł w botnecie SmokeLoader.
W rezultacie infekcje SmokeLoader są trwałe i mogą czaić się niewykorzystane na nieświadomych punktach końcowych, dopóki grupa nie będzie miała złośliwego oprogramowania, które chce wdrożyć. Różni ugrupowania zagrażające wykupują dostęp do botnetu, więc tę samą infekcję SmokeLoader można wykorzystać w szerokiej gamie kampanii.
„Często obserwujemy, jak wiele odmian złośliwego oprogramowania jest dostarczanych do jednej infekcji SmokeLoader” – wyjaśnia Pilling. „SmokeLoader jest masowy i tradycyjnie używany i obsługiwany przez cyberprzestępców motywowanych finansowo”.
Schmitt zwraca uwagę, że biorąc pod uwagę charakter usługi, trudno powiedzieć, kto ostatecznie stoi za danym danym kampania cybernetyczna wykorzystująca SmokeLoader jako narzędzie pierwszego dostępu.
„W zależności od programu ładującego do zainfekowanych systemów może selektywnie dostarczyć od 10 do 20 różnych ładunków. Niektóre z nich są powiązane z oprogramowaniem ransomware i atakami związanymi z przestępczością elektroniczną, inne zaś mają różne motywacje” – mówi.
Ponieważ infekcje SmokeLoader mają charakter masowy, wykorzystanie Whiffy Recon do gromadzenia danych geolokalizacyjnych może stanowić próbę zawężenia i zdefiniowania celów dla dalszych działań chirurgicznych.
„W miarę rozwoju sekwencji ataków” – mówi Schmitt – „ciekawie będzie zobaczyć, w jaki sposób Whiffy Recon jest wykorzystywany jako część większego łańcucha poeksploatacyjnego”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 10
- 20
- 60
- a
- dostęp
- Stosownie
- Konto
- Zarządzanie kontem
- działalność
- aktorzy
- dodatek
- Dodaje
- dopuszczać
- amerykański
- an
- analityk
- i
- każdy
- api
- APT
- Archiwum
- SĄ
- Szyk
- AS
- At
- atakować
- Ataki
- z powrotem
- BE
- za
- jest
- pomiędzy
- obie
- Botnet
- biznes
- ale
- kupować
- by
- Kampania
- Kampanie
- CAN
- Kartki okolicznosciowe
- prowadzone
- nieść
- noszenie
- łańcuch
- kod
- wspólny
- Zagrożone
- ciągły
- mógłby
- Przeciwdziałać
- kraje
- dostosowane
- cyberprzestępcy
- dane
- określić
- dostarczona
- W zależności
- rozwijać
- wdrażane
- urządzenie
- różne
- Dyrektor
- dokument
- robi
- napędzany
- Rzut
- każdy
- Gospodarczy
- wysiłek
- e-maile
- Punkt końcowy
- Punkty końcowe
- zobowiązany
- Inżynieria
- podmioty
- jednostka
- szpiegostwo
- zapewniają
- Eter (ETH)
- europejski
- Kraje europejskie
- Każdy
- wykonać
- Objaśnia
- karmienie
- filet
- materialnie
- W razie zamówieenia projektu
- od
- zbierać
- Dać
- dany
- Rząd
- Zarządzanie
- Grupy
- Ciężko
- Have
- he
- Wysoki
- Strona główna
- W jaki sposób
- HTTPS
- if
- Rezultat
- in
- wskazać
- osób
- przemysł
- infekcja
- zakażenia
- początkowy
- spostrzeżenia
- przykład
- zamiast
- Inteligencja
- ciekawy
- zainteresowania
- najnowszych
- izraelski
- IT
- JEGO
- JAVASCRIPT
- jpg
- właśnie
- znany
- laptopa
- większe
- prowadzić
- ładowarka
- usytuowany
- lokalizacja
- lokalizacji
- maszyna
- malware
- i konserwacjami
- wiele
- Może..
- Media
- Wojsko
- jeszcze
- większość
- zmotywowani
- motywacje
- Ruchy
- wielokrotność
- Nazwa
- Narodów
- Natura
- węzeł
- Cele
- obserwować
- występować
- of
- często
- on
- eksploatowane
- operacyjny
- or
- organizacja
- Inne
- Pozostałe
- na zewnątrz
- część
- szczególny
- wzory
- fizyczny
- Fizycznie
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- polityczny
- position
- możliwy
- możliwie
- potencjał
- pierwotny
- prawdopodobieństwo
- ransomware
- niedawny
- rejestry
- związane z
- raport
- reprezentować
- Badania naukowe
- Badacze
- dalsze
- Rosja
- s
- taki sam
- mówią
- skanowanie
- skany
- sekund
- sektor
- bezpieczeństwo
- widzieć
- Poszukuje
- wysyła
- senior
- wrażliwy
- Sekwencja
- usługa
- kilka
- pojedynczy
- So
- Obserwuj Nas
- Inżynieria społeczna
- kilka
- specyficzny
- rozpocznie
- przechowywany
- Odmiany Konopi
- sukces
- taki
- chirurgiczny
- inwigilacja
- system
- systemy
- trwa
- cel
- kierowania
- cele
- zespół
- Techniczny
- powiedzieć
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- one
- to
- w tym tygodniu
- groźba
- podmioty grożące
- czas
- czasy
- do
- Śledzenie
- tradycyjnie
- Podróżowanie
- włącza
- Ostatecznie
- odkryte
- jednostka
- nieznany
- aż do
- nieużywana
- us
- posługiwać się
- używany
- zastosowania
- Cenny
- różnorodny
- Ofiary
- chcieć
- tydzień
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- KIM
- dlaczego
- Wi-Fi
- szeroki
- będzie
- okna
- w
- w ciągu
- pracownik
- by
- dałbym
- zefirnet
- Zamek błyskawiczny