Orta Doğu ve Asya’daki telekomünikasyon ve BT hizmet sağlayıcıları, daha önce belgelenmemiş Çince konuşan bir tehdit grubu tarafından hedef alınıyor. WIP19.
Casuslukla ilgili saldırılar, Koreli bir şirket tarafından verilen çalıntı bir dijital sertifikanın kullanılmasıyla karakterize edilir. DEEPSoft tespitten kaçınmak için enfeksiyon zinciri sırasında dağıtılan kötü amaçlı yapıları imzalamak.
SentinelOne araştırmacıları Joey Chen ve Amitai Ben Shushan Ehrlich bu hafta bir raporda, “Tehdit aktörü tarafından gerçekleştirilen neredeyse tüm işlemler, güvenliği ihlal edilmiş makinelerle etkileşimli bir oturum sırasında ‘uygulamalı klavye’ tarzında tamamlandı.” Dedi.
“Bu, saldırganın ahırdan vazgeçtiği anlamına geliyordu. [command-and-control] gizlilik karşılığında kanal.”
Devam eden çalışmanın kısaltması olan WIP, Mandiant tarafından verilen UNC####, DEV-#### ve TAG-## atamalarına benzer şekilde SentinelOne tarafından ortaya çıkan veya şimdiye kadar ilişkilendirilmemiş etkinlik kümelerine atanan addır, Microsoft ve Kaydedilmiş Gelecek.
Siber güvenlik firması ayrıca, WIP19 tarafından kullanılan kötü amaçlı bileşenlerin belirli bölümlerinin, 2014’ten beri aktif olan WinEggDrop adlı Çince konuşan bir kötü amaçlı yazılım yazarı tarafından yazıldığını da kaydetti.
WIP19’un, WinEggDrop tarafından yazılan kötü amaçlı yazılım kullanımındaki çakışmalar, çalınan sertifikalar ve taktik çakışmalar nedeniyle, Gölge Gücü Operasyonu kod adlı başka bir grupla bağlantı paylaştığı söyleniyor.
Bununla birlikte, SentinelOne, “bunun yeni bir ‘Gölge Gücü’ operasyonu yinelemesi mi yoksa sadece benzer TTP’leri kullanan farklı bir aktör mü olduğu belli değil” dedi.
Düşman topluluğu tarafından monte edilen izinsiz girişler, bir kimlik bilgisi damper, ağ tarayıcı, tarayıcı hırsızı, tuş vuruşu kaydedici ve ekran kaydedici (ScreenCap) ve SQLMaggie olarak bilinen bir implantın bir kombinasyonunu içeren ısmarlama bir araç setine dayanır.
SQLMaggie, bu ayın başlarında Alman siber güvenlik şirketi DCSO CyTec tarafından Microsoft SQL sunucularına girme ve SQL sorguları aracılığıyla rastgele komutlar çalıştırma erişiminden yararlanma becerisini ortaya koyan derinlemesine bir analize de konu oldu.
Telemetri verilerinin analizi ayrıca SQLMaggie’nin başta Güney Kore, Hindistan, Vietnam, Çin, Tayvan, Rusya, Tayland, Almanya, İran ve ABD olmak üzere 42 ülkeye yayılmış 285 sunucuda bulunduğunu ortaya çıkardı.
Saldırıların hassas hedefli olması ve hacminin düşük olması, telekom sektörünü öne çıkarmış olması, kampanyanın arkasındaki temel amacın istihbarat toplamak olabileceğini gösteriyor.
Bulgular, kötü amaçlı yazılımın birkaç tehdit aktörü arasında yeniden kullanılması nedeniyle Çin ile uyumlu bilgisayar korsanlığı gruplarının bir anda nasıl yayıldığının ve akıcı olduğunun bir başka göstergesi.
SentineOne araştırmacıları, “WIP19, kritik altyapı endüstrilerinde yaşanan Çin casusluk faaliyetinin daha geniş bir örneğidir.” Dedi.
“Güvenilir çeyrek yöneticilerin ve ortak geliştiricilerin varlığı, benzer araçları kullanan, tanımlanması zor tehdit gruplarından oluşan bir ortam sağlayarak, tehdit kümelerini savunucuların bakış açısından ayırt etmeyi zorlaştırıyor.”