Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Nieuwe dreiging gebruikt public cloud-infrastructuur bij aanvallen

3 maart 20233 minuten leestijdCloud & Infrastructuur

SentinelOne volgt een nieuwe, vermoedelijk aan spionage gerelateerde dreiging die wordt aangeduid als WIP26. De dreiging maakt gebruik van public cloud-infrastructuur en laat kwaadaardig verkeer legitiem lijken in een poging detectie te omzeilen. WIP26 gebruikt de backdoors CMD365 en CMDEmber om Microsoft 365 Mail en Google Firebase-diensten te misbruiken voor C2-doeleinden. Ook worden Microsoft Azure en Dropbox instances voor data-exfiltratie en malware hosting ingezet. De cybercriminelen achter WIP26 richten zich op telecomaanbieders in het Midden-Oosten.

Hoe WIP26 werkt

Door medewerkers via WhatsApp te verleiden tot het downloaden en uitvoeren van een malware loader, zet WIP26 de backdoors CMD365 en CMDEmber in die Microsoft 365 Mail en Google Firebase-instanties gebruiken als C2-servers. De belangrijkste functionaliteit van deze backdoors is het uitvoeren van door kwaadwillenden verstrekte systeemcommando’s met behulp van de command interpreter in Windows.

Het gebruik van public cloud-infrastructuur voor C2-doeleinden is een poging om kwaadaardig C2-netwerkverkeer te maskeren en legitiem te laten lijken. Detectie wordt daardoor bemoeilijkt. De backdoors doen zich voor als hulpprogramma’s, zoals een PDF-editor of een browser, en als software die updates uitvoert. Er wordt gebruik gemaakt van bestandsnamen, pictogrammen en digitale handtekeningen die van bestaande, legitieme softwareleveranciers afkomstig lijken.

Toeschrijving

SentinelOne gebruikt de aanduiding Work-In-Progress (WIPxx) voor dreigingen zonder directe toeschrijving. Dat telecomproviders in het Midden-Oosten het doelwit zijn, wijst erop dat de dreiging spionagedoeleinden heeft. Telecomproviders zijn vaak doelwit van spionage vanwege de gevoelige gegevens die zij bewaren. Ook zijn er aanwijzingen dat de dreiging gericht is op de privégegevens van gebruikers en op specifieke netwerkhosts.

De cybercriminelen achter WIP26 lijken echter enkele OPSEC-fouten te hebben gemaakt. Zo is het JSON-bestand waarin de Google Firebase C2-server gegevens opslaat, openbaar toegankelijk. Dat geeft meer inzicht in WIP26.

Kwaadwillenden blijven innoveren om onzichtbaar te blijven. Het gebruik van public cloud-infrastructuur door APT-groepen komt dan ook vaker voor. Zo heeft de Noord-Koreaanse APT37 (InkySquid) de Microsoft Graph API gebruikt voor C2-operaties. De SIESTAGRAPH-backdoor gebruikt, zoals CMD365, de Microsoft Graph API om toegang te krijgen tot Microsoft 365 Mail voor C2-communicatie. Ook de groep DoNot, die bekend staat om aanvallen op non-profitorganisaties en overheidsfunctionarissen, heeft Google Firebase Cloud Messaging misbruikt om malware te kunnen plaatsen. Tot slot heeft APT28 (Fancy Bear) gebruik gemaakt van Microsoft OneDrive-diensten voor C2-doeleinden.

Conclusie

WIP26 is een relevant voorbeeld van kwaadwillenden die voortdurend innoveren in een poging om op onopvallende wijze de verdediging te omzeilen. Het gebruik van public cloud-infrastructuur voor het hosten van malware, data-exfiltratie en C2-doeleinden is erop gericht kwaadaardig verkeer legitiem te laten lijken. Dit geeft cybercriminelen de kans om hun activiteiten ongemerkt uit te voeren. SentinelLabs blijft WIP26 volgen om zo meer inzicht te bieden in de toeschrijving en de ontwikkeling van WIP26.

 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slim verbonden en veilig georganiseerd

    Waarom connectiviteit en security onlosmakelijk verbonden zijn.

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Computable.nl

    Beveiliging begint bij de Server

    Is serverhardware de blinde vlek in het securitybeleid? Waarom lifecycle-denken cruciaal is voor IT-security

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Data & AI

    AI in softwaretesten: tussen belofte e...

    De opkomst van kunstmatige intelligentie (AI) wekte hoge verwachtingen in de wereld van softwaretesten. Zelflerende testsuites, automatisch gegenereerde testgevallen en...

    Meer persberichten

    Meer lezen

    Software & Development

    Value8 wil totale controle over Ctac

    soevereine cloud
    Cloud & Infrastructuur

    Hoe soeverein moet de NDS zijn?

    Security & Awareness

    Twee dagen volle bak met prominente ot-rol

    Cloud & Infrastructuur

    Navo moderniseert it-infrastructuur met Oracle en Thales

    Luchtfoto van het datacenter-complex van Microsoft in Middenmeer.
    Data & AI

    Microsoft breidt datacenter in Wieringermeer fors uit

    Data & AI

    Amsterdams-Russische Nebius ‘hofleverancier’ van Microsoft

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs