Forskare har avslöjat en sofistikerad Winnti-cyberkampanj som missbrukar Windows-mekanismer på ett sätt som “sällan skådats.”
Enligt Cybereason ligger den kinesiska gruppen för avancerade ihållande hot (APT) Winnti bakom kampanjen, som har gått oupptäckt i flera år.
Winnti, som har varit aktiv sedan åtminstone 2010, är en hotgrupp som arbetar med ett stort utbud av skadlig programvara och verktyg till sitt förfogande. APT, även känd som APT41, BARIUM eller Blackfly, misstänks ha arbetat på uppdrag av den kinesiska staten och fokuserar på cyberspionage och datastöld.
Tidigare attacker kopplade till gruppen inkluderar cyberattacker mot videospelsutvecklare, mjukvaruleverantörer och universitet i Hong Kong. Winnti utnyttjade också Microsoft Exchange Server ProxyLogon-bristerna, tillsammans med andra APT:er, när de kritiska sårbarheterna först offentliggjordes.
I två rapporter som publicerades på onsdagen sa Cybereason att företaget hade informerat både FBI och det amerikanska justitiedepartementet (DoJ) om APT:s kampanj, som har varit aktiv sedan 2019 men bara nyligen avslöjad.
Enligt cybersäkerhetsforskarna har de hemliga attackerna fokuserats på att infiltrera nätverken av teknik- och tillverkningsföretag i Europa, Asien och Nordamerika, med fokus på att stjäla känslig proprietär information.
Winntis “flerstegsinfektionskedja”, kallad Operation CuckooBees, börjar med att utnyttja sårbarheter i programvara för företagsresursplanering (ERP) och implementeringen av Spyder-lastaren. Forskarna säger att några av de utnyttjade buggarna var kända, men andra var också nolldagars sårbarheter.
När åtkomst till ett företagssystem har uppnåtts släpps ett webbskal, som består av enkel kod publicerad på webbplatser på kinesiska språket, för att bibehålla persistens.
Dessutom manipulerar Winnti med Windows-funktionen WinRM över HTTP/HTTPS och IKEEXT och PrintNotify Windows-tjänster för att skapa beständighetsmekanismer för säkerhetskopiering och för att sidladda Winnti DLL:er.
Gruppen utför sedan detaljerad spaning på operativsystemet, nätverket och användarfilerna, innan de försöker knäcka lösenord lokalt med hjälp av tekniker och verktyg för dumpning av autentiseringsuppgifter.
Fjärrschemalagda uppgifter används för att försöka flytta i sidled över nätverk.
Särskilt anmärkningsvärt är Winntis användning av Stashlog, skadlig programvara utformad för att missbruka Microsoft Windows Common Log File System (CLFS).
Stashlog manipulerar operationerna Transactional NTFS (TxF) och Transactional Registry (TxR) i CLFS. Den körbara lagrar en nyttolast i CLFS-loggfilen som en del av infektionskedjan.
“Angriparna utnyttjade Windows CLFS-mekanismen och NTFS-transaktionsmanipulationer, vilket gjorde att de kunde dölja sina nyttolaster och undvika upptäckt av traditionella säkerhetsprodukter”, säger Cybereason och tillägger att sådan missbruk av CLFS “sällan ses.”
Efter Stashlog-aktiviteter kommer APT sedan att använda olika verktyg, inklusive Sparklog, Privatelog och Deploylog. Dessa malware-varianter extraherar data från CLFS-loggen, eskalerar privilegier, möjliggör ytterligare persistens och kommer att distribuera Winnkit rootkit-drivrutinen – som fungerar som en kernel-mode-agent för att fånga upp TCP/IP-förfrågningar.
Eftersom utredningen av Winntis kampanj pågår har cybersäkerhetsföretaget bara kunnat dela partiella kompromissindikatorer (IoCs).
“Kanske en av de mest intressanta sakerna att lägga märke till är den utarbetade och flerfasiga infektionskedjan Winnti använde”, säger forskarna. “Skadvaruförfattarna valde att bryta upp infektionskedjan i flera ömsesidigt beroende faser, där varje fas förlitar sig på den föregående för att kunna utföras korrekt.
Detta visar tanken och ansträngningen som lades ner på både skadlig programvara och driftssäkerhet, vilket gör det nästan omöjligt att analysera om inte alla pusselbitar är sammansatta i rätt ordning.”
Se även
Har du ett tips? Kom i kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
