美資安研究揭中國APT駭客組織Winnti以企業ERP系統存在的漏洞,作為切入點,數年來一直竊取涉及美歐亞30企業的商業機密

資安公司Cyber​​eason的研究指出,Winnti(也稱為 APT41、Blackfly 和 BARIUM)是一個效力於中國政府的駭客組織,自 2010 年以來一直很活躍,以複雜、隱秘和專注於竊取技術機密而聞名,這次的發現是Winnti以名為CuckooBees的間諜行動多次的入侵製造、科技、能源和製藥等產業的約30家跨國公司並竊取了大量商業機密和智慧財產,該網路竊密行動至少可以回溯到2019年,但直到最近才曝光。Cyber​​eason 發布了兩份與 CuckooBees 行動相關的報告,第一份是關於Winnti 的入侵策略和獨特性,第二份則是關於Winnti所使用的惡意軟體和漏洞的深入分析。 

攻擊鏈和有效負載部署是通過“紙牌屋”方法實現的,每個組件都依賴於其他組件才能正常運行,這使得單獨分析每個組件變得困難。

根據Cybereason的調查,自網路間諜活動開始以來,Winnti迄今已從 30 多個全球組織竊取了數百 GB 的數據包括藍圖、圖表、配方和與製造相關的專有數據和其他商業機密。此外,Cyber​​eason表示,Winnti還收集了有關目標組織的網路架構、用戶帳戶、憑證、客戶數據和業務的詳細資料,攻擊者可以在未來的攻擊中利用這些資料。Cyber​​eason的調查還揭示從CuckooBees行動中發現Winnti的武器庫中新增了前以被未記錄名為DEPLOYLOG的新惡意軟體,其有效負載隱藏和檢測規避是基於對 Windows CLFS 功能的濫用。此外,Winnti也在攻擊中使用已知的惡意軟體,包括Spyder Loader,PRIVATELOG和WINNKIT等。

入侵調查揭示了入侵始於駭客利用企業資源規劃 (ERP)平台中存有的遠端程式碼執行漏洞,在ERP Web 應用程式伺服器上部署JSB WebShell後門以保持持久性,並開始網路偵察和憑證轉儲,這進一步允許橫向移動,最終導致敏感數據從關鍵伺服器和員工的端點外洩。在CuckooBees 行動中使用Winnti多種持久性技術。第一個是刪除 WebShell 的 VBScript 版本,使用 wscript 執行它,然後將結果複製到外部可存取的檔案夾中。第二種持久性方法提供了一個額外的備份切入點,涉及修改 WinRM 遠端管理協議以啟用 HTTP 和 HTTPS 偵聽器以進行遠端 shell存取。

觀察到的Winnti攻擊鏈,Photo credit: Cybereason

第三種方法利用簽名的內核 rootkit,而第四種技術濫用合法的IKEEXT和PrintNotify Windows 服務來側載 Winnti DLL 並保持持久性。最初的偵察使用內置的 Windows 命令來收集有關受感染服務器的信息。一旦在多台機器上建立了立足點,Winnti 就開始使用計劃任務來執行不同機器之間不同的batch scripts,並根據攻擊者的目標使用不同的命令。憑證轉儲使用了兩種方法:reg save 命令和名為MFSDLL.Exe的未知工具,已知的 reg save 用於轉儲SYSTEM、SAM和SECURITY註冊表配置單元,使攻擊者能夠在本地破解密碼的hash。Cyber​​eason 無法恢復 MFSDLL 的樣本,但已經了解了它的使用方式和載入內容,它載入了一個名為mktzx64.dll的 DLL ,該 DLL與 Mimikatz 工具的使用有關。

Winnti 使用受被入侵感染的網域管理員憑證,進而使用scheduled tasks在數十台受感染的電腦上執行命令,使其能夠橫向移動並使用被盜憑證感染大量主機。

對於數據收集,攻擊者使用重新命名的中文版本的WinRAR來建立包含被盜數據的密碼保護檔案,並被重新命名為rundll32.exe偽裝成其他Windows系統檔案。

Cybereason認為,在諸如CuckooBees行動等駭客攻擊活動中最常見被利用的安全漏洞包含因為系統未打修補、網路分段不足、資產不受管理、帳戶被遺忘以及缺乏多因素身份驗證產品。儘管這些漏洞看起來很容易修復,但當今的安全性很複雜,大規模實施緩解措施並不總是那麼容易。防禦者應遵循 MITRE或類似框架,以確保他們擁有適當的可見性、檢測和補救能力來保護他們的最關鍵的資產。

另外,鑑於攻擊的複雜程度以及該活動於 2019 年發起且直到去年才被發現的事實,全球可能還有更多受害者。

中國的APT駭客組織Winnti針對俄羅斯和香港的公司發動了一系列的攻擊,發現台灣某研發線上遊戲公司的代碼簽名憑證被駭客組織濫用,利用一個未被記錄的後門程式”FunnySwitch”來攻擊香港的公司

資安人員披露了來自中國的APT駭客組織Winnti的一系列攻擊,攻擊者利用惡意軟體,包括一個未被記錄的後門程式”FunnySwitch”。Positive Technologies資安公司發現,第一次攻擊可追溯到2020年5月12日,當時Winnti使用LNK shortcuts提取並運行操作惡意軟體payload。5月30日檢測到的第二次攻擊使用了一個惡意RAR存檔檔案,該檔案由指向兩個誘餌的PDF文檔shortcuts組成,這些文檔據稱是履歷和雅思證書(IELTS certificate)。

Shortcuts本身包含指向Zeplin(是設計師和前端開發人員之間的協作溝通工具)託管的頁面的連結,駭客用於獲取最終階段的惡意軟體,該惡意軟體反過來又包含shellcode loader(svchast.exe)和稱為Crosswalk的後門程式(3t54dE3r.tmp)。

Crosswalk後門於2017年首次被FireEye記錄,是一個陽春型模組化後門,能執行系統偵察,並接收來自攻擊者控制伺服器的其他模組。

這種作案手法與韓國APT組織Higaisa相似,Higaisa被發現利用電子郵件中附加的LNK檔於2020年對毫無戒備的受害者發動襲擊,但研究人員表示,使用Crosswalk後門,表明Winnti參與其中。因樣本的網路基礎結構與以前已知的 Winnti基礎結構重疊,其中一些domains可追溯到 2013 年 Winnti 對線上遊戲業者的攻擊。

在新一波的攻擊中,值得注意的是其中的目標包括Battlestate Games,一個俄羅斯聖彼德堡(St. Petersburg)Unity3D遊戲研發商。此外,研究人員還發現了更多的攻擊樣本,以RAR檔的形式,包含Cobalt Strike信標作為payload,駭客在一個案例中使用了美國黑人George Floyd逝世有關的抗議作為誘餌。

在另一個例子中,台灣某研發線上遊戲公司的代碼簽名憑證被濫用,駭客利用Crosswalk後門和Metasploit工具,以及 ShadowPad、Paranoid PlugX和名為FunnySwitch新的.NET後門攻擊香港的公司。

某台灣研發線上遊戲公司的網站

      

某台灣研發線上遊戲公司的憑證

據相信,後門程式仍在開發中,能夠收集系統資訊並運行任意的JScript程式碼。它還與Crosswalk後門分享了許多共同功能,使研究人員相信它們是由相同的Winnti開發人員編寫的。

此前,Paranoid PlugX 與 2017 年對遊戲行業公司的攻擊有關,通過 Winnti 的網路基礎結構部署惡意軟體增加了兩組之間的關係。研究人員總結說,從該組織的攻擊中可以看到Winnti擁有大量惡意軟體。Winnti 使用廣泛可用的工具(Metasploit、Cobalt Strike、PlugX)和客製化開發的工具,這些工具的數量不斷增加。到 2020 年 5 月,該組織開始使用其新的後門 Funny Switch,它具有不尋常的訊息中繼功能,另外Winnti繼續在俄羅斯和其他地方追擊遊戲開發商也是不爭的事實。

ShadowPad和PlugX的基礎結構

有關Winnti的APT駭客組織情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d 

https://otx.alienvault.com/pulse/5f7b4e23628671de975542ed

https://otx.alienvault.com/pulse/5f64c60b933db16a4f43dffb     

Source: https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/