SentinelLabs ontdekt nieuwe dreiging gericht op IT-dienstverleners en telecomproviders

SentinelLabs, de onderzoeksafdeling van SentinelOne, waarschuwt voor een nieuw cyberdreiging die het WIP19 noemt. Deze dreiging wordt gekenmerkt door het gebruik van een legitiem, gestolen digitaal certificaat dat is uitgegeven door een bedrijf met de naam ‘DEEPSoft’. SentinelLabs vermoedt dat WIP19 - dat componenten van WinEggDrop gebruikt - afkomstig is van een Chinese actor en dat de activiteiten gerelateerd zijn aan spionage.

In een analyse van de gebruikte backdoors zijn signalen naar voren gekomen dat delen van de door WIP19 gebruikte componenten zijn gemaakt door WinEggDrop. Dit is een bekende Chineestalige malware-auteur die tools heeft gemaakt voor meerdere cybercriminelen en actief is sinds 2014. Het gebruik van deze malware en de gestolen certificaten wijzen ook op mogelijke banden met Operation Shadow Force, waar eerder TrendMicro en AhnLab over rapporteerden. Het erop lijkt dat de toolset door verschillende actoren wordt gedeeld. Het is dan ook onduidelijk of dit een nieuwe variant van Operation Shadow Force is of een nieuwe dreiging die soortgelijke tactieken en procedures gebruikt.

Spionage

Door de betrokkenheid van de WinEggDrop-ontwikkelaar en het feit dat de tooling is waargenomen bij andere Chinese spionageactiviteiten vermoedt SentinelLabs dat deze activiteit wordt uitgevoerd door een tot nu toe onbekende Chineestalige actor.

WIP19 is gericht op aanbieders van telecom- en IT-diensten in het Midden-Oosten en Azië. Dit kan wijzen op spionage: telecomproviders zijn volgens SentinelLabs vaak doelwit van spionage vanwege het soort en de hoeveelheid gevoelige gegevens die zij bewaren. Tijdens de activiteiten misbruikt de dreiging het DEEPSoft-certificaat om verschillende schadelijke componenten te ondertekenen.

SQLMaggie

SentinelLabs wijst erop dat ook SQLMaggie - een malware-implantaat dat onlangs is beschreven door DCSO CyTec - onderdeel uitmaakt van de activiteiten. SQLMaggie lijkt actief te worden onderhouden. Daarnaast heeft SentinelLabs andere malware geïdentificeerd die de actor gebruikt. Het bestaan van gemeenschappelijke ontwikkelaars maakt groepen die vergelijkbare tools gebruiken moeilijk te onderscheiden. SentinelLabs blijft deze activiteiten volgen om meer inzicht te geven in hun evolutie en toekomstige activiteiten.

Meer technische details over de ontdekte kwetsbaarheden zijn hier beschikbaar.