Các nhà cung cấp dịch vụ viễn thông và CNTT ở Trung Đông và châu Á đang là mục tiêu của một nhóm mối đe dọa nói tiếng Trung quốc không có giấy tờ trước đây có tên là WIP19.
Các cuộc tấn công liên quan đến gián điệp được đặc trưng bởi việc sử dụng chứng chỉ kỹ thuật số bị đánh cắp do một công ty Hàn Quốc có tên DEEPSoft cấp để ký các hiện vật độc hại được triển khai trong chuỗi lây nhiễm để tránh bị phát hiện.
"Hầu hết tất cả các hoạt động được thực hiện bởi tác nhân đe dọa đã được hoàn thành theo kiểu 'bàn phím thực hành', trong một buổi tương tác với các máy bị xâm nhập," các nhà nghiên cứu của SentinelOne là Joey Chen và Amitai Ben Shushan Ehrlich cho biết trong một báo cáo tuần này.
"Điều này có nghĩa là kẻ tấn công đã từ bỏ một kênh [chỉ huy và kiểm soát] ổn định để đổi lấy khả năng tàng hình."
WIP, viết tắt của công việc đang tiến hành, là biệt danh được SentinelOne gán cho các cụm hoạt động mới nổi hoặc cho đến nay không được phân bổ, tương tự như các chỉ định UNC ####, DEV - # # và TAG - # # # do Mandiant, Microsoft và Recorded Future đưa ra.
Công ty an ninh mạng cũng lưu ý rằng một số phần của các thành phần độc hại được wip19 sử dụng là tác giả của một tác giả phần mềm độc hại nói tiếng Trung Quốc có tên WinEggDrop, người đã hoạt động từ năm 2014.
WIP19 được cho là chia sẻ liên kết đến một nhóm khác có tên mã là Operation Shadow Force do sự chồng chéo trong việc sử dụng phần mềm độc hại do WinEggDrop tác giả, chứng chỉ bị đánh cắp và chồng chéo chiến thuật.
Điều đó nói rằng, SentinelOne lưu ý, "không rõ liệu đây là một lần lặp lại mới của hoạt động 'Shadow Force' hay chỉ đơn giản là một diễn viên khác sử dụng các TTP tương tự."
Các cuộc xâm nhập được gắn bởi tập thể đối thủ dựa trên một bộ công cụ đặt trước bao gồm sự kết hợp của trình kết xuất thông tin xác thực, máy quét mạng, trình đánh cắp trình duyệt, trình ghi tổ hợp phím và trình ghi màn hình (ScreenCap) và cấy ghép được gọi là SQLMaggie.
SQLMaggie cũng là chủ đề của một phân tích chuyên sâu của công ty an ninh mạng DCSO CyTec của Đức vào đầu tháng này, kêu gọi khả năng đột nhập vào các máy chủ Microsoft SQL và tận dụng quyền truy cập để chạy các lệnh tùy ý thông qua các truy vấn SQL.
Một phân tích dữ liệu đo từ xa cho thấy thêm sự hiện diện của SQLMaggie trong 285 máy chủ trải rộng trên 42 quốc gia, chủ yếu là Hàn Quốc, Ấn Độ, Việt Nam, Trung Quốc, Đài Loan, Nga, Thái Lan, Đức, Iran và Hoa Kỳ.
Thực tế là các cuộc tấn công là mục tiêu chính xác và khối lượng thấp, chưa kể đã chỉ ra lĩnh vực viễn thông, cho thấy động cơ chính đằng sau chiến dịch có thể là thu thập thông tin tình báo.
Những phát hiện này là một dấu hiệu khác cho thấy các nhóm tin tặc liên kết với Trung Quốc đang ngay lập tức ngổn ngang và linh hoạt như thế nào do việc sử dụng lại phần mềm độc hại giữa một số tác nhân đe dọa.
"WIP19 là một ví dụ về phạm vi rộng lớn hơn của hoạt động gián điệp của Trung Quốc đã trải qua trong các ngành công nghiệp cơ sở hạ tầng quan trọng", các nhà nghiên cứu của SentineOne cho biết.
"Sự tồn tại của các quý trưởng đáng tin cậy và các nhà phát triển phổ biến cho phép một bối cảnh của các nhóm mối đe dọa khó xác định đang sử dụng công cụ tương tự, khiến các cụm mối đe dọa khó phân biệt với quan điểm của những người bảo vệ."