Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại “Whiffy Recon” đang được triển khai bởi Mạng botnet SmokeLoader, đây là một chương trình quét Wi-Fi tùy chỉnh có thể thực thi được cho các hệ thống Windows để theo dõi vị trí thực tế của nạn nhân.
Whiffy Recon lấy tên từ cách phát âm Wi-Fi được sử dụng ở nhiều nước châu Âu và Nga (“wiffy” thay vì “why fie” trong tiếng Mỹ). Theo báo cáo, nó tìm kiếm thẻ hoặc thiết bị bảo vệ Wi-Fi trên các hệ thống bị xâm nhập và sau đó quét các điểm truy cập Wi-Fi (AP) gần đó cứ sau 60 giây. một báo cáo tuần này từ Đơn vị chống mối đe dọa của Secureworks.
Sau đó, nó sắp xếp vị trí của hệ thống bị nhiễm bằng cách đưa dữ liệu AP vào API định vị địa lý của Google và sau đó gửi dữ liệu vị trí trở lại một đối thủ không xác định.
Dữ liệu định vị địa lý cho các cuộc tấn công tiếp theo
Rafe Pilling, giám đốc nghiên cứu mối đe dọa của Đơn vị chống mối đe dọa Secureworks, nói rằng mặc dù có khoảng thời gian quét 60 giây đối với các AP, nhưng không rõ liệu mỗi vị trí có đang được lưu trữ hay đó chỉ là vị trí gần đây nhất được truyền đi.
“Có thể một công nhân mang theo máy tính xách tay có Whiffy Recon trên đó có thể được ánh xạ di chuyển giữa nhà và địa điểm kinh doanh,” ông nói.
Drew Schmitt, nhà phân tích chính của Nhóm tình báo và nghiên cứu bảo mật GuidePoint (GRIT), nói rằng những hiểu biết sâu sắc về chuyển động của các cá nhân có thể thiết lập các mô hình về hành vi hoặc vị trí có thể cho phép nhắm mục tiêu cụ thể hơn.
Ông nói: “Nó có thể được sử dụng để theo dõi các cá nhân thuộc một tổ chức, chính phủ hoặc tổ chức cụ thể khác. “Những kẻ tấn công có thể triển khai có chọn lọc phần mềm độc hại khi hệ thống bị nhiễm nằm ở một vị trí nhạy cảm hoặc vào những thời điểm cụ thể sẽ mang lại cho chúng khả năng hoạt động thành công và tác động lớn”.
Shawn Surber, giám đốc cấp cao về quản lý tài khoản kỹ thuật tại Tanium, chỉ ra rằng báo cáo không chỉ định ngành hoặc lĩnh vực cụ thể nào làm mục tiêu chính, nhưng ông nói thêm, “dữ liệu đó có thể có giá trị cho hoạt động gián điệp, giám sát hoặc nhắm mục tiêu vật lý”.
Ông nói thêm rằng điều này có thể chỉ ra rằng các thực thể được nhà nước tài trợ hoặc liên kết với nhà nước tham gia vào các chiến dịch gián điệp mạng kéo dài đứng đằng sau chiến dịch này. Ví dụ, APT35 của Iran trong chiến dịch trinh sát địa điểm gần đây các mục tiêu truyền thông của Israel, có thể phục vụ cho các cuộc tấn công vật lý tiềm ẩn theo các nhà nghiên cứu vào thời điểm đó.
Ông giải thích: “Một số nhóm APT được biết đến với lợi ích hoạt động gián điệp, giám sát và nhắm mục tiêu vật lý, thường được thúc đẩy bởi các mục tiêu chính trị, kinh tế hoặc quân sự của các quốc gia mà họ đại diện”.
SmokeLoader: Màn hình khói thuộc tính
Quy trình lây nhiễm bắt đầu bằng các email kỹ thuật xã hội mang kho lưu trữ zip độc hại. Đó hóa ra là một tệp đa ngôn ngữ chứa cả tài liệu mồi nhử và tệp JavaScript.
Sau đó, mã JavaScript được sử dụng để thực thi phần mềm độc hại SmokeLoader, ngoài việc thả phần mềm độc hại vào máy bị nhiễm, phần mềm này còn đăng ký điểm cuối bằng lệnh và kiểm soát (C2) máy chủ và thêm nó dưới dạng một nút trong mạng botnet SmokeLoader.
Do đó, tình trạng lây nhiễm SmokeLoader diễn ra dai dẳng và có thể ẩn nấp không được sử dụng trên các điểm cuối vô tình cho đến khi một nhóm có phần mềm độc hại mà họ muốn triển khai. Nhiều kẻ đe dọa khác nhau mua quyền truy cập vào mạng botnet, do đó, việc lây nhiễm SmokeLoader giống nhau có thể được sử dụng trong nhiều chiến dịch.
Pilling giải thích: “Chúng tôi thường quan sát thấy nhiều chủng phần mềm độc hại được chuyển đến một đợt lây nhiễm SmokeLoader duy nhất. “SmokeLoader là một hệ thống bừa bãi và thường được sử dụng và vận hành bởi tội phạm mạng có động cơ tài chính.”
Schmitt chỉ ra rằng do tính chất dịch vụ của nó, thật khó để biết ai đứng sau bất kỳ dịch vụ nào. chiến dịch mạng sử dụng SmokeLoader làm công cụ truy cập ban đầu.
Ông nói: “Tùy thuộc vào trình tải, có thể có tới 10 hoặc 20 trọng tải khác nhau được phân phối có chọn lọc đến các hệ thống bị nhiễm, một số trong đó có liên quan đến các cuộc tấn công ransomware và tội phạm điện tử trong khi những trọng tải khác có động cơ khác nhau”.
Vì việc lây nhiễm SmokeLoader là bừa bãi nên việc sử dụng Whiffy Recon để thu thập dữ liệu định vị địa lý có thể là một nỗ lực nhằm thu hẹp và xác định mục tiêu cho nhiều hoạt động tiếp theo sau phẫu thuật.
Schmitt nói: “Khi chuỗi tấn công này tiếp tục diễn ra, sẽ rất thú vị khi xem Whiffy Recon được sử dụng như một phần của chuỗi sau khai thác lớn hơn.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- : có
- :là
- :không phải
- $ LÊN
- 10
- 20
- 60
- a
- truy cập
- Theo
- Tài khoản
- quản lý tài khoản
- hoạt động
- diễn viên
- Ngoài ra
- Thêm
- cho phép
- American
- an
- phân tích
- và
- bất kì
- api
- APT
- lưu trữ
- LÀ
- Mảng
- AS
- At
- tấn công
- Các cuộc tấn công
- trở lại
- BE
- sau
- được
- giữa
- cả hai
- Mạng lưới
- kinh doanh
- nhưng
- mua
- by
- Chiến dịch
- Chiến dịch
- CAN
- Thẻ
- thực hiện
- mang
- thực
- chuỗi
- mã
- Chung
- Thỏa hiệp
- liên tiếp
- có thể
- Counter
- nước
- tùy chỉnh
- tội phạm mạng
- dữ liệu
- định nghĩa
- giao
- Tùy
- triển khai
- triển khai
- thiết bị
- khác nhau
- Giám đốc
- tài liệu
- làm
- điều khiển
- Rơi
- mỗi
- Kinh tế
- nỗ lực
- Điểm cuối
- thiết bị đầu cuối
- thuê
- Kỹ Sư
- thực thể
- thực thể
- gián điệp
- thành lập
- Ether (ETH)
- Châu Âu
- Các nước châu Âu
- Mỗi
- thi hành
- Giải thích
- cho ăn
- Tập tin
- tài chính
- Trong
- từ
- thu thập
- Cho
- được
- Chính phủ
- Nhóm
- Các nhóm
- Cứng
- Có
- he
- Cao
- Trang Chủ
- Độ đáng tin của
- HTTPS
- if
- Va chạm
- in
- chỉ
- các cá nhân
- ngành công nghiệp
- nhiễm trùng
- Nhiễm trùng
- ban đầu
- những hiểu biết
- ví dụ
- thay vì
- Sự thông minh
- thú vị
- lợi ích
- trong
- Israeli
- IT
- ITS
- JavaScript
- jpg
- chỉ
- nổi tiếng
- máy tính xách tay
- lớn hơn
- dẫn
- loader
- nằm
- địa điểm thư viện nào
- . Các địa điểm
- máy
- phần mềm độc hại
- quản lý
- nhiều
- Có thể..
- Phương tiện truyền thông
- Quân đội
- chi tiết
- hầu hết
- động cơ
- động cơ
- phong trào
- nhiều
- tên
- Quốc
- Thiên nhiên
- nút
- mục tiêu
- tuân theo
- xảy ra
- of
- thường
- on
- vận hành
- hoạt động
- or
- cơ quan
- Nền tảng khác
- Khác
- ra
- một phần
- riêng
- mô hình
- vật lý
- Thể chất
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- chính trị
- vị trí
- có thể
- có thể
- tiềm năng
- chính
- xác suất
- ransomware
- gần đây
- đăng ký
- liên quan
- báo cáo
- đại diện
- nghiên cứu
- nhà nghiên cứu
- kết quả
- Nga
- s
- tương tự
- nói
- quét
- quét
- giây
- ngành
- an ninh
- xem
- Tìm kiếm
- gửi
- cao cấp
- nhạy cảm
- Trình tự
- dịch vụ
- một số
- duy nhất
- So
- Mạng xã hội
- Kỹ thuật xã hội
- một số
- riêng
- bắt đầu
- lưu trữ
- Chủng
- thành công
- như vậy
- phẫu thuật
- giám sát
- hệ thống
- hệ thống
- mất
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- nhóm
- Kỹ thuật
- nói
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- họ
- điều này
- tuần này
- mối đe dọa
- diễn viên đe dọa
- thời gian
- thời gian
- đến
- Theo dõi
- theo truyền thống
- Đi du lịch
- biến
- Cuối cùng
- để hở
- đơn vị
- không xác định
- cho đến khi
- không sử dụng
- us
- sử dụng
- đã sử dụng
- sử dụng
- Quý báu
- khác nhau
- nạn nhân
- muốn
- tuần
- khi nào
- liệu
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- tại sao
- Wi-fi
- rộng
- sẽ
- cửa sổ
- với
- ở trong
- công nhân
- sẽ
- sẽ cho
- zephyrnet
- Zip