Um novo grupo de espionagem chinês tem visado provedores de serviços de TI e telecomunicações. Inclusive, essas infraestruturas do Oriente Médio e da Ásia já estão sob ataques do grupo chamado WIP19. Os ataques relacionados à espionagem são caracterizados pelo uso de um certificado digital roubado emitido por uma empresa coreana chamada DEEPSoft para assinar artefatos maliciosos implantados durante a cadeia de infecção para evitar a detecção.
De acordo com os pesquisadores do SentinelOne, Joey Chen e Amitai Ben Shushan Ehrlich, “quase todas as operações executadas pelo agente da ameaça foram concluídas de maneira ‘teclado prático’, durante uma sessão interativa com máquinas comprometidas”.
Eles apontam ainda que, “isso significa que o invasor desistiu de um canal estável [de comando e controle] em troca de furtividade”.
WIP19 visa provedores de serviços de TI e telecomunicações em ciberespionagem
WIP, abreviação de work-in-progress, é o apelido atribuído pelo SentinelOne a clusters de atividades emergentes ou até então não atribuídos, semelhantes às designações UNC####, DEV-#### e TAG-## dadas pela Mandiant, Microsoft e Futuro Registrado.
A empresa de segurança cibernética também observou que partes selecionadas dos componentes maliciosos empregados pelo WIP19 foram de autoria de um autor de malware de língua chinesa chamado WinEggDrop, que está ativo desde 2014. As informações apontam que o WIP19 compartilha links para outro grupo de codinome Operation Shadow Force devido a sobreposições no uso de malware de autoria do WinEggDrop, certificados roubados e sobreposições táticas.
De acordo com o SentinelOne “não está claro se esta é uma nova iteração da operação ‘Shadow Force’ ou simplesmente um ator diferente utilizando TTPs semelhantes”.
As invasões montadas pelo coletivo adversário contam com um conjunto de ferramentas sob medida que inclui uma combinação de um dumper de credenciais, scanner de rede, ladrão de navegador, registrador de teclas e gravador de tela (ScreenCap) e um implante conhecido como SQLMaggie.
O SQLMaggie também foi objeto de uma análise aprofundada da empresa alemã de segurança cibernética DCSO CyTec no início deste mês, destacando sua capacidade de invadir servidores Microsoft SQL e aproveitar o acesso para executar comandos arbitrários por meio de consultas SQL.
O fato de os ataques serem direcionados com precisão e de baixo volume, para não mencionar o setor de telecomunicações, indica que o principal motivo por trás da campanha pode ser coletar informações.
Grupos chineses
As descobertas são mais uma indicação de como os grupos de hackers alinhados à China estão ao mesmo tempo espalhados e fluidos devido à reutilização do malware entre vários atores de ameaças. “O WIP19 é um exemplo da maior amplitude da atividade de espionagem chinesa experimentada em indústrias de infraestrutura crítica”, disseram os pesquisadores da SentineOne.