以IT服务提供商和电信运营商为目标的新中国网络间谍组织

中东和亚洲地区的电信和IT服务提供商正被一个以前被称为WIP19的无证华语威胁集团所攻击。

与间谍有关的攻击的特点是使用被盗的数字证书，由一家名为DEEPSoft的韩国公司签发，以签署在感染链期间部署的恶意工件，以逃避检测。

 SentinelOne的研究人员Joey Chen和Amitai Ben苏珊埃尔利希在本周的一份报告中说，”威胁演员所做的几乎所有操作都是以’动手键盘’的方式完成的。

这意味着攻击者放弃了一个稳定的[命令和控制]通道，以换取隐形。

 WIP，简称在制品，是Sentinel One分配给新兴或迄今未被归属的活动集群的名称，类似于美国麦迪安网路安全公司、Microsoft和Recorded Future给出的UNC # # # #、DEV – # # #和TAG – # #名称。

网络安全公司还注意到，WIP19使用的恶意组件中的一部分是由一个自2014年以来一直活跃的中文恶意软件作者WinEggDrop撰写的。

据称，WIP19与另一个代号为”影子部队”的团体共享链接，原因是使用WinEggDrop编写的恶意软件、被盗证书和战术重叠。

也就是说，Sentinel One指出，”目前尚不清楚这是’影子部队’行动的新迭代，还是仅仅是使用类似的TTP的不同行为体”。

由敌对集合体安装的入侵依赖于一个定制工具集，该工具集包括一个凭据转储器、网络扫描器、浏览器窃取器、击键记录器和屏幕记录器(录屏软件)，以及一个名为SQLMaggie的植入程序。

本月早些时候，德国网络安全公司DCSO CyTec对SQLMaggie进行了深入分析，指出它有能力闯入Microsoft SQL服务器，并利用访问权限通过SQL查询运行任意命令。

对遥测数据的分析进一步揭示了SQLMaggie在分布在42个国家的285台服务器中的存在，这些国家主要是韩国、印度、越南、中国、台湾、俄罗斯、泰国、德国、伊朗和美国。

这些袭击是精确的目标，而且数量很低，更不用说电信部门了，这表明竞选背后的主要动机可能是收集情报。

这些发现再次表明，由于多个威胁行为者之间的各种恶意软件家族的重用，中国的黑客集团是如何迅速蔓延和流动的。

SentineOne的研究人员说，WIP19是中国在关键基础设施行业从事更广泛间谍活动的一个例子。

 “可靠的四分卫和共同开发人员的存在使使用类似工具的难以识别的威胁群体的景观，使威胁集群难以从防御者的角度区分开来”。