I ricercatori hanno identificato un gruppo di attività informatiche, soprannominato WIP26, che prendono di mira i fornitori di telecomunicazioni in Medio Oriente. La particolarità di questo insieme di attività di spionaggio, è la forte dipendenza dall’infrastruttura del cloud pubblico, tra cui Microsoft Azure, Microsoft 365 Mail, Google Firebase e Dropbox per l’esfiltrazione di dati, la consegna di malware e operatività C2 (comando e controllo).
La campagna WIP26
Uno studio collaborativo sul malware e sull’infrastruttura utilizzata da WIP26 afferma che si tratta di una missione di raccolta di informazioni con avversari che utilizzano il traffico di rete da servizi cloud legittimi, sfruttandolo per nascondersi dietro di esso.
L’attacco inizia con un messaggio WhatsApp inviato ai dipendenti dell’organizzazione presa di mira.
Questo messaggio contiene un collegamento Dropbox a un file di archivio, che finge di essere un documento sui problemi legati alla povertà in Medio Oriente.
L’archivio contiene il suddetto documento e un payloader di malware (PDFelement.exe) mascherato da applicazione PDFelement.
Questo caricatore è progettato per rilasciare backdoor personalizzate tra cui CMD365 e CMDEmber.
A proposito delle backdoor
I ricercatori hanno rilevato diversi campioni CMD365 o CMDEmber che abusano di Google Firebase e Microsoft 365 Mail per svolgere compiti C2 ed eseguono i comandi ricevuti dagli aggressori sul sistema compromesso.
CMD365 è un eseguibile .NET (denominato Update.exe) che finge di essere una vera applicazione Postman. Crea un’attività pianificata sul sistema infetto per garantire la persistenza. Inoltre, è in grado di esfiltrare i dati, escalation dei privilegi, ricognizione e staging di malware aggiuntivo.
CMDEmber, un altro eseguibile .NET (denominato Launcher.exe) si maschera da browser Opera. Utilizza la libreria Firebase open source per interagire con le istanze di Google Firebase tramite richieste HTTP.
Il suo compito è sottrarre i dati del browser e le informazioni di ricognizione degli host di alto valore, scelte dagli operatori. Questi dati vengono trasmessi alle istanze di Azure controllate dal gruppo tramite i comandi di PowerShell.
In sintesi
Gli attacchi di spionaggio alle organizzazioni mediorientali non sono nuovi. Tuttavia, ciò che distingue questo è l’uso massiccio dell’infrastruttura di cloud pubblico da parte di WIP26, che indica che si vuole eseguire attacchi senza sollevare alcuna bandiera rossa. Per proteggersi da attacchi così sofisticati, i ricercatori suggeriscono di tenere aggiornati con le ultime attività informatiche in tutto il settore e di sfruttare una piattaforma di intelligence sulle minacce che soddisfi le proprie esigenze, nel controllo del perimetro anche attraverso la ricerca OSINT.