SentinelOne volgt een nieuwe, vermoedelijk aan spionage gerelateerde dreiging die wordt aangeduid als WIP26. De dreiging maakt gebruik van public cloud-infrastructuur en laat kwaadaardig verkeer legitiem lijken in een poging detectie te omzeilen. WIP26 gebruikt de backdoors CMD365 en CMDEmber om Microsoft 365 Mail en Google Firebase-diensten te misbruiken voor C2-doeleinden. Ook worden Microsoft Azure en Dropbox instances voor data-exfiltratie en malware hosting ingezet. De cybercriminelen achter WIP26 richten zich op telecomaanbieders in het Midden-Oosten.
Hoe WIP26 werkt
Door medewerkers via WhatsApp te verleiden tot het downloaden en uitvoeren van een malware loader, zet WIP26 de backdoors CMD365 en CMDEmber in die Microsoft 365 Mail en Google Firebase-instanties gebruiken als C2-servers. De belangrijkste functionaliteit van deze backdoors is het uitvoeren van door kwaadwillenden verstrekte systeemcommando’s met behulp van de command interpreter in Windows.
Het gebruik van public cloud-infrastructuur voor C2-doeleinden is een poging om kwaadaardig C2-netwerkverkeer te maskeren en legitiem te laten lijken. Detectie wordt daardoor bemoeilijkt. De backdoors doen zich voor als hulpprogramma’s, zoals een PDF-editor of een browser, en als software die updates uitvoert. Er wordt gebruik gemaakt van bestandsnamen, pictogrammen en digitale handtekeningen die van bestaande, legitieme softwareleveranciers afkomstig lijken.
Toeschrijving
SentinelOne gebruikt de aanduiding Work-In-Progress (WIPxx) voor dreigingen zonder directe toeschrijving. Dat telecomproviders in het Midden-Oosten het doelwit zijn, wijst erop dat de dreiging spionagedoeleinden heeft. Telecomproviders zijn vaak doelwit van spionage vanwege de gevoelige gegevens die zij bewaren. Ook zijn er aanwijzingen dat de dreiging gericht is op de privégegevens van gebruikers en op specifieke netwerkhosts.
De cybercriminelen achter WIP26 lijken echter enkele OPSEC-fouten te hebben gemaakt. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26.
Kwaadwillenden blijven innoveren om onzichtbaar te blijven. Het gebruik van public cloud-infrastructuur door APT-groepen komt dan ook vaker voor. Zo heeft de Noord-Koreaanse APT37 (InkySquid) de Microsoft Graph API gebruikt voor C2-operaties. De SIESTAGRAPH-backdoor gebruikt, zoals CMD365, de Microsoft Graph API om toegang te krijgen tot Microsoft 365 Mail voor C2-communicatie. Ook de groep DoNot, die bekend staat om aanvallen op non-profitorganisaties en overheidsfunctionarissen, heeft Google Firebase Cloud Messaging misbruikt om malware te kunnen plaatsen. Tot slot heeft APT28 (Fancy Bear) gebruik gemaakt van Microsoft OneDrive-diensten voor C2-doeleinden.
Conclusie
WIP26 is een relevant voorbeeld van kwaadwillenden die voortdurend innoveren in een poging om op onopvallende wijze de verdediging te omzeilen. Het gebruik van public cloud-infrastructuur voor het hosten van malware, data-exfiltratie en C2-doeleinden is erop gericht kwaadaardig verkeer legitiem te laten lijken. Dit geeft cybercriminelen de kans om hun activiteiten ongemerkt uit te voeren. SentinelLabs blijft WIP26 volgen om zo meer inzicht te bieden in de toeschrijving en de ontwikkeling van WIP26.