Cyberthreat.id – Peneliti dari perusahaan keamanan siber SentinelOne dan QGroup mengungkapkan bahwa penyedia layanan telekomunikasi di Timur Tengah menjadi sasaran aktor ancaman yang sebelumnya tidak berdokumen sebagai bagian dari misi pengumpulan intelijen yang dicurigai.

Dikutip dari The Hacker News, kedua perusahaan keamanan tersebut menyebutkan jika pihaknya sedang melacak klaster aktivitas di bawah moniker WIP26 yang masih dalam proses. Ini termasuk penyalahgunaan Microsoft 365 Mail, Azure, Google Firebase, dan Dropbox untuk tujuan pengiriman malware, eksfiltrasi data, dan perintah-dan-kontrol (C2).

“WIP26 sangat bergantung pada infrastruktur cloud publik dalam upaya menghindari deteksi dengan membuat lalu lintas berbahaya terlihat sah,” kata peneliti Aleksandar Milenkoski, Collin Farr, dan Joey Chen dalam sebuah laporan terbaru.

Peneliti menjelaskan, vektor intrusi awal yang digunakan dalam serangan memerlukan "penargetan presisi" karyawan melalui pesan WhatsApp yang berisi tautan ke tautan Dropbox ke file arsip yang seharusnya tidak berbahaya.

File-file tersebut, pada kenyataannya, menyimpan pemuat malware yang fitur intinya adalah untuk menerapkan pintu belakang berbasis .NET khusus seperti CMD365 atau CMDEmber yang memanfaatkan Microsoft 365 Mail dan Google Firebase untuk C2.

“Fungsi utama CMD365 dan CMDEmber adalah untuk mengeksekusi perintah sistem yang disediakan penyerang menggunakan Windows command interpreter,” kata para peneliti.

Kemampuan ini digunakan untuk melakukan berbagai aktivitas, seperti pengintaian, eskalasi hak istimewa, pementasan malware tambahan, dan eksfiltrasi data. CMD365, pada bagiannya, bekerja dengan memindai folder kotak masuk untuk email tertentu yang dimulai dengan baris subjek "input" untuk mengekstrak perintah C2 untuk dijalankan pada host yang terinfeksi. CMDEmber, sebaliknya, mengirim dan menerima data dari server C2 dengan mengeluarkan permintaan HTTP.

Mentransmisikan data yang terdiri dari informasi browser web pribadi pengguna dan detail tentang host bernilai tinggi di jaringan korban, ke instans Azure yang dikontrol aktor diatur melalui perintah PowerShell. Penyalahgunaan layanan cloud untuk tujuan jahat tidak pernah terdengar, dan kampanye terbaru dari WIP26 menunjukkan upaya berkelanjutan dari pelaku ancaman untuk menghindari deteksi.

Ini bukan pertama kalinya penyedia telekomunikasi di Timur Tengah berada di bawah radar kelompok spionase. Pada Desember 2022, Bitdefender mengungkapkan detail operasi yang dijuluki BackdoorDiplomacy yang ditujukan untuk perusahaan telekomunikasi di wilayah tersebut untuk menyedot data berharga.