Hackerek 2019 óta észrevétlenül loptak adatokat amerikai és európai szervezetektől


A Winnti néven ismert kínai hackercsoport 2019 óta lopva lop szellemi tulajdont, például szabadalmakat, szerzői jogokat, védjegyeket és egyéb vállalati adatokat, amelyeket a kutatók és a célpontok nem fedeztek fel.

Az APT41 néven is emlegetett Winnti egy fejlett és megfoghatatlan kiberkémkedési csoport, amelyről úgy gondolják, hogy a kínai állam támogatja, és nemzeti érdekeiért működik.

A feltárt kiberbűnözési kampány legalább 2019 óta zajlik, és Kelet-Ázsia, Nyugat-Európa és Észak-Amerika technológiai és gyártóvállalatait célozta meg.



Kakukk méhek hadművelet

Ezt a bűnözői műveletet „CuckooBees hadműveletként” ismerik, és a Cybereason elemzői fedezték fel, akik felfedték a hírhedt hackercsoport által telepített új rosszindulatú programokat, a behatolásra használt mechanizmusokat és az általuk használt bonyolult rakomány-szállítási módszereket. .

Winnti működési lépések

Winnti működési lépések (kiber ok)

„A titkos felderítés és az értékes adatok azonosítása során eltelt évek során a becslések szerint a csoportnak több száz gigabájtnyi információt sikerült kiszivárogtatnia.

A támadók az áldozatok által kifejlesztett szellemi tulajdont vették célba, beleértve az érzékeny dokumentumokat, tervrajzokat, diagramokat, képleteket és a gyártáshoz kapcsolódó, védett adatokat. - Kiberszezon.

A „CuckooBees” által elszenvedett pénzügyi veszteségeket nehéz meghatározni, de a számnak olyan léptékűnek kell lennie, hogy a művelet az elmúlt évek legkárosabb kiberkampányai közé kerüljön.

Lopakodó művelet

Az Operation CuckooBees során megfigyelt fertőzési lánc a célpontok által használt ERP platformok ismert és nulladik napi sebezhetőségeinek kihasználásával kezdődik.

A Winnti a perzisztenciát egy keményen kódolt WebShell segítségével hozza létre, visszaélve a WinRM protokollal a távoli eléréshez, az IKEEXT és a PrintNotify Windows szolgáltatásokkal a DLL oldalbetöltéséhez, vagy egy aláírt kernel rootkit betöltésével.

Amint megveszik a lábukat a hálózatokban, a hackerek felderítést hajtanak végre a Windows beépített parancsaival, mint például a „systeminfo”, „net start”, „net user” és „dir c:”, amelyek valószínűleg nem váltanak ki gyanús riasztásokat. tevékenység, még akkor is, ha kötegfájlokon fut ütemezett feladaton keresztül.

Az oldalirányú mozgáshoz használt parancsok

Felismerésre használt parancsok
(kiber ok)

A hitelesítő adatok kiíratásához a Winnti a „reg save” parancsot használja, hogy biztonságos helyre mentse az ellopott jelszavakat, vagy az „MFSDLL.exe” nevű, korábban nem dokumentált eszköz egy változatát.

Az oldalirányú mozgáshoz a hackerek továbbra is visszaélnek a Windows ütemezett feladataival egy sor speciális kötegfájllal együtt.

Ütemezett feladat oldalirányú mozgáshoz (kiber ok)

Végül, az adatgyűjtéshez és a kiszűréshez a fenyegetés szereplői egy hordozható WinRAR parancssori alkalmazást helyeznek üzembe, amely érvényes digitális aláírást mutat be, és a „rundll32.exe” fájlt használja futtatható fájlként.

WinRAR aláírás (kiber ok)

új leletek

A Cybereason jelentése egy új Winnti malware, a „DEPLOYLOG” és a Windows Common Log File System (CLFS) mechanizmusával való visszaélés módszere a hasznos teher elrejtése.

A CLFS egy belső naplózási rendszer a Windows operációs rendszerek számára, amely egy védett fájlformátumot használ, amely csak a rendszer API-függvényein keresztül érhető el. Ennek megfelelően az AV-szkennerek kihagyják a naplófájljaikat, míg az emberi ellenőrök nem rendelkeznek olyan eszközzel, amely elemezni tudná őket.

A Winnti visszaél ezzel a rendszerrel, hogy tárolja és elrejtse a hasznos terheit, amelyeket CLFS rekord formájában helyeznek el a célrendszeren, majd CLFS API-hívásokon keresztül kivonják és végrehajtják.

A DEPLOYLOG rosszindulatú program, amelyet korábban nem dokumentáltak, egy 64 bites DLL (a 'dbghelp.dll' néven álcázva), amely kibontja és végrehajtja a végső Winnti hasznos adatot, a WINNKIT rootkitet, majd két kommunikációs csatornát hoz létre a Remote C2-vel és a kernel szintű rootkit.

A Windows CLFS-sel való visszaélésre használt rosszindulatú programok egy részét korábban a Mandiant fedezte fel, de azokat nem tulajdonították egyetlen fenyegető szereplőnek sem.

Rosszindulatú programok és a Winnkit üzembe helyezéséhez vezető lépések (kiber ok)

A WINNKIT a fenyegetés szereplőinek legkitérőbb és legkifinomultabb rakománya, amelyet a múltban alaposan elemeztek. Ennek ellenére még ennyi idő után is nagyrészt immunis a víruskeresővel szemben.

A CuckooBees műveletben a WINNKIT reflektív hasznos terhelés befecskendezést használ a rosszindulatú modulok legitim svchost folyamatokba való bejuttatására.

„A WINNKIT egy lejárt BenQ digitális aláírást tartalmaz, amelyet a Driver Signature Enforcement (DSE) mechanizmus megkerülésére használnak ki, amely megköveteli az illesztőprogramok megfelelő digitális aláírással történő aláírását a sikeres betöltéshez” – magyarázza a Cybereason rosszindulatú programról szóló jelentése.

'Ezt a mechanizmust először a 64 bites Windows Vista rendszerben vezették be, és azóta a Windows összes verzióját érinti.'

A sikeres inicializálás után a WINNKIT összekapcsolja a hálózati kommunikációt, és elkezdi fogadni az egyéni parancsokat a DEPLOYLOG-on keresztül.

DEPLOYLOG és WINNKIT com interakciók (kiber ok)

megvédi a hálózatát

Annak ellenére, hogy az Egyesült Államok Igazságügyi Minisztériuma az elmúlt két évben vádat emelt a Winnti tagjai ellen, és bármennyi fehér könyv jelent meg eszközeikről és taktikáikról, a hírhedt kínai kiberkémcsoport továbbra is aktív és szorgalmas.

A Cybereason úgy véli, hogy az Operation CuckooBees összetettsége, rejtettsége és kifinomultsága miatt nagyon valószínű, hogy a Winnti sokkal több vállalatot kompromittált, mint amennyit ellenőrizni tudtak.

Az ilyen fenyegetésekkel szembeni védekezőknek az a legjobb megoldás, ha frissítik az összes szoftverüket a legújabb elérhető verzióra, figyelik az összes hálózati forgalmat, és használják a hálózati szegmentálást.

A Winnti TTP-jeivel kapcsolatos további részletekért kérjük, olvassa el a Cybereason blog cikkét, amely a technikákra összpontosít, vagy olvassa el a kampányban használt rosszindulatú programokkal foglalkozó harmadik felet.

Mit gondolsz?