NUEVA ACTIVIDAD DEL GRUPO WIP19
| 17/10/2022 | BOLETÍN NRO 2022-596 |
Los proveedores de servicios de telecomunicaciones y TI en el Medio Oriente y Asia están siendo atacados por un grupo de amenazas de habla china previamente indocumentado denominado WIP19.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
| El grupo se caracteriza por el uso de un certificado digital legítimo y robado emitido por DEEPSoft, una empresa coreana especializada en soluciones de mensajería.
“A lo largo de esta actividad, el atacante abusó del certificado para firmar varios componentes maliciosos”, explicó SentinelLabs.
“Casi todas las operaciones realizadas por el ciberdelincuente se completaron con un ‘teclado práctico’ durante una sesión interactiva con máquinas comprometidas. Esto significó que el atacante renunció a un canal C2 estable a cambio del sigilo”.
Los análisis de SentinelLabs de los backdoor utilizadas también sugirieron que partes de los componentes utilizados por WIP19 fueron creados por WinEggDrop, un conocido autor de malware de habla china que ha desarrollado herramientas para varios grupos y ha estado activo desde 2014.
“El uso de malware creado por WinEggDrop, certificados robados y TTP correlacionados [tactics, techniques and procedures] indican posibles vínculos con la Operación Shadow Force, según lo informado por analistas de seguridad“, explicó SentinelLabs.
“Como el conjunto de herramientas en sí parece ser compartido entre varios actores, no está claro si se trata de una nueva iteración de la operación ‘Shadow Force’ o simplemente de un ciberdelincuente diferente que utiliza TTP similares. Sin embargo, la actividad que observamos representa a un actor más maduro, utilizando nuevo malware y técnicas”.
Además, SentinelLabs vinculó un implante denominado “SQLMaggie”, descrito recientemente por DCSO CyTeca la última actividad de WIP19.
“SQLMaggie parece estar activamente mantenido y proporciona información sobre la línea de tiempo de desarrollo con nombres de versión codificados”.
Debido a sus TTP avanzados, SentinelLabs advirtió que WIP19 es un ejemplo de la mayor amplitud de la actividad de espionaje china dirigida a organizaciones de infraestructura crítica y están actualizando sus técnicas para evitar ser detectados por los sistemas de seguridad. Indicadores de Compromiso
HASH MD5: 562021372c683dbcd1144275c7e36449
SHA-256: f4275a0db5e74d24150985c23a740c4b2514b002b2bdf9c87c64bccb6be6d193
MD5: f80a144f3fd2671e0286f9a5d0cba7ab
SHA-256: eeb793d904be48934d728027dc9d96e3feea3ded1e97d7eceae3c19887bf8a38
MD5: bbf8beede399a4f85639f521586bfac6
SHA-256: c18beccc038e014fb97600ec2fc3bfffa463310483b1d13ccfd23a749bb6bb60
MD5: 4a26893ade9d4c7666f7d6766ae25b6d
SHA-256: afd2925e09604af8ab75adcb441752bf12fcf7de50211e29c0505ae36873d943
MD5: 6a49b0b896c9443a1110afeec7b871b1
SHA-256: 8f14a9707d7d5ccf9f633af70dd8371090e01983c4895f60cc7845a7f57ea9cf
MD5: 2e11b8b30b6930308bcc005d6d9156b6
SHA-256: 8a3712f74755da5b2f1c014d394b30454be840d561a5d45534bb2fcbdcba172d
MD5: 6a99c186f09770bf80121a836dba1179
SHA-256: 7adbf934329be31a9de64668d75b2c710e08e791fd01d5c2436d887f0327ea34
MD5: f2c723a4af532f8ce5160877c2366ca0
SHA-256: 72353ee98cd3926d8f14d5b7118b7bb0465f72ca9e3d28397a1bcf2cb0fc3edb
MD5: 93a56ae000b38af074c944c777738e1c
SHA-256: 6dd889c05413e1abb207ce4639014deb07309fc8910856eb687e3032d5f52607
MD5: 42cc046f9f8aa4d444ace51e90ec2e87
SHA-256: 65f8fe26916ba161fcaee2778e16329a5f0bb18b7981b27e42acf8c4df2378f2
MD5: f7ff72186cb5f82daf11f96dd663ce1e
SHA256: 358247e97e0758b5d211a1691800276ec3b8fed7dff575986d4b3ed0f426a113
MD5: 1ecbb837566126f81fe401877db3377f
SHA256: 30db1ecb9822916d56961914f583e9578aa0470e65da8325473f05ec365e9062
MD5: 6a85792804d362cf393aba1d658882e
SHA256: 3041c798c3a957d8e335270107d519ef8187261ecc27778e808a8b9e388adf6a
MD5: 3218c6aca4cc6a5088d1fcc60547a9a
SHA256: 2f2f165ee5b81a101ebda0b161f43b54bc55afd8e4702c9b8056a175a1e7b0e0
MD5: 9b508c180e047e17e54f1fe59f3f5757
SHA256: 27069d5f0e905c3ec50929b7f344772384c0ede6a67b1d4d59a658fdbe938ef1
MD5: f80a144f3fd2671e0286f9a5d0cba7ab
SHA256: eeb793d904be48934d728027dc9d96e3feea3ded1e97d7eceae3c19887bf8a38
MD5: f7ff72186cb5f82daf11f96dd663ce1e
SHA256: 358247e97e0758b5d211a1691800276ec3b8fed7dff575986d4b3ed0f426a113
MD5: f2c723a4af532f8ce5160877c2366ca0
SHA256: 2353ee98cd3926d8f14d5b7118b7bb0465f72ca9e3d28397a1bcf2cb0fc3edb
MD5: bbf8beede399a4f85639f521586bfac6
SHA256: 18beccc038e014fb97600ec2fc3bfffa463310483b1d13ccfd23a749bb6bb60
MD5: 9b508c180e047e17e54f1fe59f3f5757
SHA256: 27069d5f0e905c3ec50929b7f344772384c0ede6a67b1d4d59a658fdbe938ef1
MD5: 93a56ae000b38af074c944c777738e1c
SHA256: 6dd889c05413e1abb207ce4639014deb07309fc8910856eb687e3032d5f52607
MD5: 6a99c186f09770bf80121a836dba1179
SHA256: adbf934329be31a9de64668d75b2c710e08e791fd01d5c2436d887f0327ea34
MD5: 6a49b0b896c9443a1110afeec7b871b1
SHA256: 8f14a9707d7d5ccf9f633af70dd8371090e01983c4895f60cc7845a7f57ea9cf
MD5: 562021372c683dbcd1144275c7e36449
SHA256: f4275a0db5e74d24150985c23a740c4b2514b002b2bdf9c87c64bccb6be6d193
MD5: 4a26893ade9d4c7666f7d6766ae25b6d
SHA256: afd2925e09604af8ab75adcb441752bf12fcf7de50211e29c0505ae36873d943
MD5: 43218c6aca4cc6a5088d1fcc60547a9a
SHA256: f2f165ee5b81a101ebda0b161f43b54bc55afd8e4702c9b8056a175a1e7b0e0
MD5: 42cc046f9f8aa4d444ace51e90ec2e87
SHA256: 5f8fe26916ba161fcaee2778e16329a5f0bb18b7981b27e42acf8c4df2378f2
MD5: 2e11b8b30b6930308bcc005d6d9156b6
SHA256: 8a3712f74755da5b2f1c014d394b30454be840d561a5d45534bb2fcbdcba172d
MD5: 26a85792804d362cf393aba1d658882e
SHA256: 3041c798c3a957d8e335270107d519ef8187261ecc27778e808a8b9e388adf6a
MD5: 1ecbb837566126f81fe401877db3377f
SHA256: 0db1ecb9822916d56961914f583e9578aa0470e65da8325473f05ec365e9062 | |
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
