2min

De WIP26-malware gebruikt public cloudomgevingen om aanvallen uit te voeren op telecomoperators. De malware probeert als legitiem over te komen.

Dat blijkt uit onderzoek van SentinelOne. De WIP26-malware richt zich op spionageactiviteiten. Vooral telecomoperators in het Midden-Oosten worden door de nieuwe malware getroffen, concludeert SentinelOne in zijn analyse.

Opvallend gebruikt de nieuwe malware graag public cloudomgevingen om over te komen als legitieme software of handelingen. De malware gebruikt Microsoft 365 Mail, Microsoft Azure, Google Firebase en Dropbox voor het afleveren van malware en data-exfiltratie.

Meer concreet gebruiken de aanvallers hiervoor de CMD365- en de CMDEmber backdoors voor het aanvallen van de Microsoft 365 Mail- en de Google Firebase-diensten. Dit om ze te misbruiken voor C2-servers. Daarnaast worden Microsoft Azure en Dropbox instances ingezet voor data-exfiltratie en het hosten van malware.

Aanvalsproces

SentinelOne heeft ook het aanvalsproces in kaart kunnen brengen. Een WIP26-aanval start met het via WhatsApp verleiden van medewerkers van de telecomnetwerken tot het installeren van een malware loader.

Vervolgens doen de betreffende backdoors zich voor als hulpprogramma’s, zoals een PDF-editor, een browser of als software die updates uitvoert. Inclusief bijbehorende legitieme bestandsnamen, pictogrammen en digitale handtekeningen. Hierdoor wordt het uiteindelijk kwaadaardige C2-verkeer gemaskeerd en wordt het lastig dit kwaadaardige verkeer te ontdekken.

Fouten van cybercriminelen

Wie precies achter de malware-aanvallen op de telecomaanbieders zitten is niet bekend. Aangezien telecomoperators zijn aangevallen lijkt het wel om spionageactiviteiten te gaan, zodat de aanvallen misschien aan staatsgesponsorde APT-groepen kan worden toegerekend, hoewel het in dit geval niet zeker is.

Volgens SentinelOne hebben de cybercriminelen enkele OPSEC-fouten gemaakt die normaal bij echte APT-aanvallen niet voorkomen. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26. SentinelOne blijft daarom WIP26 volgen om meer inzicht te krijgen in de ontwikkeling van deze geavanceerde malware-aanval.

Lees ook: ‘Malware gebruikt KoiVM virtualisatietechnologie tegen detectie’