Новый кластер угроз нацелился на телекоммуникационных провайдеров на Ближнем Востоке и злоупотребляет облачными сервисами Microsoft, Google и Dropbox.
Активность начинается с точного нацеливания на сотрудников с помощью сообщений WhatsApp, содержащих ссылки на Dropbox и загрузчик вредоносного ПО.
Обманным путем сотрудников заставляют загрузить и выполнить загрузчик, что в конечном итоге приводит к развертыванию бэкдоров, использующих Microsoft 365 Mail и Google Firebase в качестве C2-серверов. SentinelOne называет эти бэкдоры CMD365 и CMDEmber, соответственно. Основная функциональность CMD365 и CMDEmber заключается в выполнении предоставленных злоумышленником системных команд с помощью командного интерпретатора Windows.
Использование публичной облачной инфраструктуры для целей C2 - это попытка придать вредоносному сетевому трафику C2 вид легитимного и тем самым затруднить его обнаружение защитниками. Образцы CMD365 и CMDEmber, обнаруженные SentinelOne, маскируются под утилитарное программное обеспечение, такое как редактор PDF или браузер, а также под программное обеспечение, выполняющее операции обновления. При попытке маскировки используются имена файлов, значки приложений и цифровые подписи, указывающие на существующих поставщиков программного обеспечения.
Indicators of Compromise
IPv4
- 193.29.56.122
SHA1
- 3e10a3a2be17dcf8e79e658f7443f6c3c51f8803
- 6b5f7659ce48ff48f6f276dc532cd458bf15164c
- 8b95902b2c444bcdccb8a481159612777f82bad1
- a7bd58c86cf6e7436cece692da8f78ceb7ba56a0
- b8313a185528f7d4f62853a44b64c29621627ae7