Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Nieuwe dreiging gebruikt public cloud-infrastructuur bij aanvallen

3 maart 20233 minuten leestijdCloud & Infrastructuur

SentinelOne volgt een nieuwe, vermoedelijk aan spionage gerelateerde dreiging die wordt aangeduid als WIP26. De dreiging maakt gebruik van public cloud-infrastructuur en laat kwaadaardig verkeer legitiem lijken in een poging detectie te omzeilen. WIP26 gebruikt de backdoors CMD365 en CMDEmber om Microsoft 365 Mail en Google Firebase-diensten te misbruiken voor C2-doeleinden. Ook worden Microsoft Azure en Dropbox instances voor data-exfiltratie en malware hosting ingezet. De cybercriminelen achter WIP26 richten zich op telecomaanbieders in het Midden-Oosten.

Hoe WIP26 werkt

Door medewerkers via WhatsApp te verleiden tot het downloaden en uitvoeren van een malware loader, zet WIP26 de backdoors CMD365 en CMDEmber in die Microsoft 365 Mail en Google Firebase-instanties gebruiken als C2-servers. De belangrijkste functionaliteit van deze backdoors is het uitvoeren van door kwaadwillenden verstrekte systeemcommando’s met behulp van de command interpreter in Windows.

Het gebruik van public cloud-infrastructuur voor C2-doeleinden is een poging om kwaadaardig C2-netwerkverkeer te maskeren en legitiem te laten lijken. Detectie wordt daardoor bemoeilijkt. De backdoors doen zich voor als hulpprogramma’s, zoals een PDF-editor of een browser, en als software die updates uitvoert. Er wordt gebruik gemaakt van bestandsnamen, pictogrammen en digitale handtekeningen die van bestaande, legitieme softwareleveranciers afkomstig lijken.

Toeschrijving

SentinelOne gebruikt de aanduiding Work-In-Progress (WIPxx) voor dreigingen zonder directe toeschrijving. Dat telecomproviders in het Midden-Oosten het doelwit zijn, wijst erop dat de dreiging spionagedoeleinden heeft. Telecomproviders zijn vaak doelwit van spionage vanwege de gevoelige gegevens die zij bewaren. Ook zijn er aanwijzingen dat de dreiging gericht is op de privégegevens van gebruikers en op specifieke netwerkhosts.

De cybercriminelen achter WIP26 lijken echter enkele OPSEC-fouten te hebben gemaakt. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26.

Kwaadwillenden blijven innoveren om onzichtbaar te blijven. Het gebruik van public cloud-infrastructuur door APT-groepen komt dan ook vaker voor. Zo heeft de Noord-Koreaanse APT37 (InkySquid) de Microsoft Graph API gebruikt voor C2-operaties. De SIESTAGRAPH-backdoor gebruikt, zoals CMD365, de Microsoft Graph API om toegang te krijgen tot Microsoft 365 Mail voor C2-communicatie. Ook de groep DoNot, die bekend staat om aanvallen op non-profitorganisaties en overheidsfunctionarissen, heeft Google Firebase Cloud Messaging misbruikt om malware te kunnen plaatsen. Tot slot heeft APT28 (Fancy Bear) gebruik gemaakt van Microsoft OneDrive-diensten voor C2-doeleinden.

Conclusie

WIP26 is een relevant voorbeeld van kwaadwillenden die voortdurend innoveren in een poging om op onopvallende wijze de verdediging te omzeilen. Het gebruik van public cloud-infrastructuur voor het hosten van malware, data-exfiltratie en C2-doeleinden is erop gericht kwaadaardig verkeer legitiem te laten lijken. Dit geeft cybercriminelen de kans om hun activiteiten ongemerkt uit te voeren. SentinelLabs blijft WIP26 volgen om zo meer inzicht te bieden in de toeschrijving en de ontwikkeling van WIP26.

 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Well-Architected: slim bouwen en beheren in de cloud

    Een paper met concrete handvatten om cloud-architectuur naar een hoger niveau te tillen.

    Meer lezen

    Gebouw TU/e
    ActueelCloud & Infrastructuur

    TU/e vervangt vpn en voegt mfa toe na cyberaanval

    ActueelCloud & Infrastructuur

    Kort: Eigen ai-assistent Amsterdam, NIS2-manager Atos, DSA-check ACM en…

    Quantum
    ActueelCloud & Infrastructuur

    Nieuwe Cisco-netwerkchip brengt quantum-internet dichterbij

    kaasschaaf
    ActueelCarrière

    VodafoneZiggo schrapt 400 banen

    cybercrime
    ActueelCloud & Infrastructuur

    Rijkswaterstaat moet vaart maken met beveiligen van bruggen en sluizen

    Bord van Mediamarkt
    ActueelCloud & Infrastructuur

    Mediamarkt licht ‘onbeperkte’ cloudopslag van eigen telecommerk toe

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs