WIP19 Espionage, un nuovo APT cinese prende di mira i fornitori di servizi IT e le Telco

by Tommy Denet

SentinelLabs sta studiando un nuovo gruppo di minacce, denominato WIP19, che ha preso di mira i fornitori di servizi telco e IT in Medio Oriente e in Asia.

È molto probabile che questa attività sia legata allo spionaggio e che WIP19 sia un gruppo di minacce di lingua cinese. WIP19 agisce utilizzando un certificato legittimo e rubato per firmare un nuovo malware, tra cui SQLMaggie, ScreenCap e un dumper di credenziali.

Come funziona

Durante questa attività, l’autore della minaccia ha usato certificato per firmare diversi componenti dannosi. Quasi tutte le operazioni eseguite sono state completate in modalità “hands-on keyboard”, durante una sessione interattiva con macchine compromesse.

“La nostra analisi delle backdoor utilizzate, insieme al pivoting sul certificato, suggerisce che parti dei componenti utilizzati da WIP19 sono stati creati da WinEggDrop, un noto autore di malware di lingua cinese che ha creato strumenti per una varietà di gruppi ed è stato attivo dal 2014”, scrive la società.

L’uso di malware creato da WinEggDrop, certificati rubati e TTP correlati indicano possibili collegamenti all’operazione Shadow Force, come riportato da TrendMicro e AhnLab.

Poiché il set di strumenti stesso sembra essere condiviso tra diversi attori, non è chiaro se si tratti di una nuova iterazione dell’operazione “Shadow Force” o semplicemente di un attore diverso che utilizza TTP simili. L’attività che abbiamo osservato, tuttavia, rappresenta un attore più maturo, che utilizza nuovi malware e tecniche.

User authentication

“Abbiamo collegato un impianto denominato “SQLMaggie”, recentemente descritto da DCSO CyTec, a questo insieme di attività. SQLMaggie sembra essere gestito attivamente e fornisce informazioni dettagliate sulla sequenza temporale di sviluppo con nomi di versione codificati. Inoltre, abbiamo identificato una serie di altri malware utilizzati da questo attore di minacce”, dice SentinelLabs.

Questo rapporto si concentra sul dettaglio dell’insieme di attività che tracciamo come WIP19 e fornisce un ulteriore contesto sull’utilizzo di questi nuovi strumenti.

Per saperne di più al seguente link si analizzano le caratteristiche di WIP19 e la sua modalità di azione: https://www.sentinelone.com/labs/wip19-espionage-new-chinese-apt-targets-it-service-providers-and-telcos-with-signed-malware/ .