Лаборатория SentinelLabs отслеживает кластер угроз, который они называют WIP19. Эта группа характеризуется использованием законного, украденного цифрового сертификата, выданного компанией "DEEPSoft". WIP19 атакует поставщиков телекоммуникационных и ИТ-услуг на Ближнем Востоке и в Азии.
- Новый кластер угроз, который SentinelLabs отслеживаеn как WIP19, нацелился на поставщиков телекоммуникационных и ИТ-услуг на Ближнем Востоке и в Азии.
- Весьма вероятно, что эта деятельность связана со шпионажем и что WIP19 является китайскоязычной угрожающей группой.
- Этот кластер угроз частично совпадает с операцией Shadow Force, но использует новые вредоносные программы и методы.
- WIP19 использует законный украденный сертификат для подписи новых вредоносных программ, включая SQLMaggie, ScreenCap и дампер учетных данных.
В ходе этой деятельности угрожающий агент использовал сертификат для подписи нескольких вредоносных компонентов. Почти все операции, выполненные угрожающим агентом, были завершены "с клавиатуры", во время интерактивной сессии со взломанными машинами. Это означает, что злоумышленник отказался от стабильного канала C2 в обмен на скрытность.
Анализ использованных бэкдоров в сочетании с поворотом на сертификат позволяет предположить, что часть компонентов, использованных WIP19, была написана WinEggDrop, известным китайскоязычным автором вредоносного ПО, который создавал инструменты для различных групп и был активен с 2014 года. Использование вредоносных программ, созданных WinEggDrop, украденных сертификатов и коррелирующих ТТП указывает на возможную связь с операцией "Shadow Force".
Indicators of Compromise
SHA1
- 1121324a15e6714e4313dfa18c8b03a6da381ba1
- 11678237dfccc88f257acca2b66b578713deaca8
- 13ba1cfd66197b69a0519686c23bdef17955c52e
- 17ff9fc9ee72baaf8d66ef9b3ab6411c47384968
- 18d3ac848955295381f769b923a86871e01bfa1c
- 19f2a546a76458dda6eab6e2fae07d0942759b84
- 1c6d0e8920af9139a8a9fe3d60b15cf01fb85461
- 253e702ff8201eec6fdf9630a39f5a8c28b132ed
- 26c0722a1d16641d85b97594deea2a65399daef7
- 26cbd3588b10cabc7c63492c82808104829e9ac0
- 2bf1b6163af5685824c2d7ecda4f3f65f3ca4723
- 2cad0328863cb09a6b27414d5158075d69bfb387
- 2eeb46d538c486f8591a78a65dde250b0bf62f89
- 327bedce44160ebccc7d465c673d3464e23292b9
- 32e96ef4754c8f357e2366078387750e7f6add43
- 37cca724227a8e77671ecde3d295f5b98531705b
- 4a6cf3d5b005e97ef6f2be09f8ab19c2755cae39
- 4aabb34b447758a2c676d8ad49338c9e0f74a330
- 4d2eb6e03be068f364e8e3f3c9645e03e1052e66
- 5182e0a5f075317171ad0e01e52d32937ec2fa01
- 539d87139de6d5136b6d45dbc33a1aae69926eee
- 56d326dfe7dcb1ce7cae2cb4c13819510fc9945c
- 5796068cfd79fba65394114ba0edc8cc93eae151
- 5aa9a9299865b0cb81fcad5f42424d79c67c403b
- 5be50453f6e941c5c1dd20e0ba53e9abb6d00b68
- 5e0291928e29db46386fd0bd85f269e967758897
- 693e4ed784279bc47a013dc56f87cbd103e1db2e
- 7d58e51aee7da91dc93025854712cee47ed03101
- 7eb6e7d4e5bd5a34c602879cad0a26b35a3ca4fb
- 829df7b229220c56eedc5660e8f0e7f366fa271f
- 8941d889cb199a234d99c90ce78a96411b6dedb6
- 9577a2c15494edc2f7f4a59ecfb3ee90dd1df9d7
- 96099015981559237a52a7d50a07143870728fd0
- 9bedb5810536879fae95c70a918eb90ac628953e
- a347aaf152d8ddcd299d86d7839d4ffa369ef2ef
- a34bda87bd253eda794462c20074baed19e1c01c
- ad72aa442ff2c357b48ae8b4f8ba9b04b63c698b
- afe25455804a7afb7639cb4e356cb089105be82d
- b15bae6a8379a951582fc7767fa8490722af6762
- b3249b6f05eeeb2cf5f74931aa990fbc92027b54
- b91ab391a4e26e4ff0717cd989ad5ce7f6af235c
- bfccf57e173b8233d35928956022bae85fc5d722
- c6cb7ec82ee55ccb56a4cc8b91c64e9b4f4e14da
- c81de9a27f7e8890d30bd9f7ec0f705029b74170
- ca25fcba11b3b42d9e637132b5753c9b708be6f0
- d02fce5d87ea1fe9fabe7ac52cae2439e8215121
- d3eeb9db89f0b21dc945f5410be9a9532e0c951e
- da876cd6e3528f95aafb158713d3b21db5fc780b
- df1a7c13a3ec612a10819353ba0d34348a404bc8
- f2c64108cb670e82908e5f41c58f1aab97ee7786
- f37d9ce547894ab5449e5632188a3a3bb9e91fed
- fe2e7c663913e0744822d1469be0c3655d24178d