Language
Novel Spy Group apunta a las telecomunicaciones en 'Precisión
HogarHogar > Blog > Novel Spy Group apunta a las telecomunicaciones en 'Precisión
ÚLTIMAS NOTICIAS

Novel Spy Group apunta a las telecomunicaciones en 'Precisión

Apr 29, 2023

Un actor de amenazas previamente desconocido está apuntando a las empresas de telecomunicaciones en el Medio Oriente en lo que parece ser una campaña de ciberespionaje similar a muchas que han afectado a las organizaciones de telecomunicaciones en varios países en los últimos años.

Los investigadores de SentinelOne que detectaron la nueva campaña dijeron que la están rastreando como WIP26, una designación que la compañía usa para actividades que no ha podido atribuir a ningún grupo específico de ataques cibernéticos.

En un informe de esta semana, señalaron que habían observado que WIP26 usaba infraestructura de nube pública para entregar malware y almacenar datos extraídos, así como para fines de comando y control (C2). El proveedor de seguridad evaluó que el actor de amenazas está usando la táctica, como muchos otros lo hacen en estos días, para evadir la detección y hacer que su actividad sea más difícil de detectar en las redes comprometidas.

"La actividad WIP26 es un ejemplo relevante de los actores de amenazas que innovan continuamente sus TTP [tácticas, técnicas y procedimientos] en un intento de mantenerse sigilosos y eludir las defensas", dijo la compañía.

Los ataques que observó SentinelOne generalmente comenzaron con mensajes de WhatsApp dirigidos a personas específicas dentro de las empresas de telecomunicaciones objetivo en el Medio Oriente. Los mensajes contenían un enlace a un archivo de Dropbox que pretendía contener documentos sobre temas relacionados con la pobreza pertinentes a la región. Pero en realidad, también incluía un cargador de malware.

Los usuarios engañados para que hicieran clic en el enlace terminaron teniendo dos puertas traseras instaladas en sus dispositivos. SentinelOne encontró uno de ellos, rastreado como CMD365, usando un cliente de Microsoft 365 Mail como su C2, y la segunda puerta trasera, denominada CMDEmber, usando una instancia de Google Firebase para el mismo propósito.

El proveedor de seguridad describió que WIP26 usa puertas traseras para realizar reconocimientos, elevar privilegios, implementar malware adicional y robar los datos privados del navegador del usuario, información sobre sistemas de alto valor en la red de la víctima y otros datos. SentinelOne evaluó que muchos de los datos que ambas puertas traseras han recopilado de los sistemas y la red de la víctima sugieren que el atacante se está preparando para un ataque futuro.

"El vector de intrusión inicial que observamos involucraba objetivos de precisión", dijo SentinelOne. "Además, la selección de proveedores de telecomunicaciones en Oriente Medio sugiere que el motivo de esta actividad está relacionado con el espionaje".

WIP26 es uno de los muchos actores de amenazas que se han dirigido a las empresas de telecomunicaciones en los últimos años. Algunos de los ejemplos más recientes, como una serie de ataques contra empresas de telecomunicaciones australianas como Optus, Telestra y Dialog, tuvieron una motivación financiera. Los expertos en seguridad han señalado esos ataques como una señal de un mayor interés en las empresas de telecomunicaciones entre los ciberdelincuentes que buscan robar datos de los clientes o secuestrar dispositivos móviles a través de los llamados esquemas de intercambio de SIM.

Sin embargo, más a menudo, el ciberespionaje y la vigilancia han sido las principales motivaciones de los ataques a los proveedores de telecomunicaciones. Los proveedores de seguridad han informado de varias campañas en las que grupos de amenazas persistentes avanzados de países como China, Turquía e Irán han irrumpido en la red de un proveedor de comunicaciones para poder espiar a personas y grupos de interés para sus respectivos gobiernos.

Un ejemplo es Operation Soft Cell, donde un grupo con sede en China irrumpió en las redes de las principales empresas de telecomunicaciones de todo el mundo para robar registros de datos de llamadas para poder rastrear a personas específicas. En otra campaña, un actor de amenazas rastreado como Light Basin robó la identidad del suscriptor móvil (IMSI) y los metadatos de las redes de 13 de los principales operadores. Como parte de la campaña, el actor de amenazas instaló malware en las redes de los operadores que le permitieron interceptar llamadas, mensajes de texto y registros de llamadas de personas objetivo.