I en briefing som gavs till FBI och US DoJ, Cybereason-forskare förklarade kampanjen för Winnti, en kinesisk APT som syftar till spaningssyften.
Forskare sa att kampanjen har gått oupptäckt i flera år, eftersom den är sofistikerad av hackare. Winnti-hackare utnyttjar de kända och noll-dagars buggarna för första åtkomst och använder legitim Windows-programvara och en rad andra skadliga verktyg för att dölja sin verksamhet och stjäla data.
Winntis Modus Operandi
Bland alla Advanced Persistent Threats (APTs) vi har idag, är Winnti-gruppen ett av de sofistikerade teamen som används mot kritiska organisationer för att stjäla känslig data. Kopplad till den kinesiska regeringen är Winnti också känd som APT41, BARIUM, eller Svartfluga vid flera tillfällen.
Tidigare riktade den statligt stödda hackergruppen in sig på mjukvaruleverantörer, videospelsutvecklare och några universitet i Hong Kong, med både kända buggar och nolldagars buggar. Winnti är också en av de aktiva grupperna som snabbt utnyttjar Microsofts Exchange Server ProxyLogon-fel.
På senare tid har forskarna avslöjat en kampanj kallad Operation CuckooBeessom har varit oupptäckt i över tre år. Det börjar med att Winnti-gruppen utnyttjar sårbarheter i ERP-programvaran för en riktad organisation och distribuerar Spyder-lastaren.
Väl in skapar de ett webbskal som består av enkel kod publicerad på vissa webbplatser på det kinesiska språket. Gruppen utnyttjar också Windows WinRM-funktion över HTTP/HTTPS, och IKEEXT och PrintNotify-tjänster – för att skapa mekanismer för säkerhetskopiering och för att sidladda deras DLL:er.
Det börjar sedan med sitt spaningsjobb, genom att analysera det komprometterade systemets operativsystem, nätverk och användarfiler för att knäcka de interna lösenorden genom autentiseringsdumpning eller andra tekniker. De skapar också schemalagda uppgifter för att flytta i sidled i nätverket.
Forskare noterade att Winnti använder Stashlog – skadlig programvara utformad för att missbruka Microsoft Windows Common Log File System (CLFS). Att manipulera CLFS, Transactional NTFS (TxF) och Transactional Registry (TxR) hjälper dem att lagra en nyttolast i CLFS-loggfilen.
Allt detta gör att de kan dölja sina nyttolaster och undvika upptäckt av vanliga säkerhetsprodukter. Bortsett från detta använder de också verktyg som Sparklog, Privat stock, och Implementeringslogg för att eskalera privilegier, möjliggöra ytterligare beständighet och distribuera Winnkit rootkit-drivrutinen.
Även om de beskrev kampanjen, sa forskarna att de analyserar denna grupp ytterligare för att veta mer. Ändå publicerade de partiella IoCs och sa att det är svårt att lära sig mer om dem på grund av deras “” attack. Man ska kunna ha alla pusselbitar för att lösa det.
