Информация

Дата основания
2002
Местоположение
Россия
Сайт
www.ptsecurity.com
Численность
501–1 000 человек
Дата регистрации

Блог на Хабре

Обновить
94,22
Рейтинг

Higaisa или Winnti? Как мы определяли принадлежность бэкдоров

Блог компании Positive TechnologiesИнформационная безопасность

В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye).

Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскажем о том, с чего началось наше исследование.

Введение

Первая из привлекших внимание экспертов атак была датирована 12 мая 2020.

Использованный в ней вредоносный файл представляет собой архив с именем Project link and New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Архив содержит документ-приманку в формате PDF (Zeplin Copyright Policy.pdf), а также папку All tort's projects - Web lnks с двумя ярлыками:

  • Conversations - iOS - Swipe Icons - Zeplin.lnk,

  • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.

Структура вредоносных ярлыков похожа на образец 20200308-sitrep-48-covid-19.pdf.lnk, который распространялся группой Higaisa в марте 2020.

Механизм начального заражения принципиально не изменился ― при попытке открыть любой из ярлыков выполняется команда, которая извлекает из тела LNK-файла закодированный с помощью Base64 CAB-архив, который затем распаковывается во временную папку. Дальнейшие действия выполняются с помощью извлеченного JS-скрипта.

Содержимое скрипта 34fDFkfSD32.js
Содержимое скрипта 34fDFkfSD32.js

В качестве основной полезной нагрузки, устанавливаемой скриптом, выступает шеллкод с именем 3t54dE3r.tmp.

30 мая 2020 был выявлен новый вредоносный объект — архив CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) с двумя ярлыками:

  • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,

  • International English Language Testing System certificate.pdf.lnk.

Их структура полностью повторяла образцы от 12 мая. В качестве приманки в данном случае использовались PDF-документы, содержащие резюме и сертификат IELTS.

Данные атаки были подробно изучены нашими коллегами из Malwarebytes и Zscaler. Основываясь на схожести цепочек заражения, исследователи относят их к группе Higaisa.

Однако детальный анализ шеллкода, который использовался в качестве полезной нагрузки, показал, что его образцы принадлежат к семейству ВПО Crosswalk. Это вредоносное ПО появилось не позднее 2017 года и было впервые упомянуто в отчете FireEye о деятельности группы APT41 (Winnti).

Фрагмент отчета FireEye
Фрагмент отчета FireEye
Фрагмент шеллкода 3t54dE3r.tmp
Фрагмент шеллкода 3t54dE3r.tmp

Исследование сетевой инфраструктуры образцов также позволяет найти пересечения с ранее известной инфраструктурой APT41: на IP-адресе одного из C2-серверов обнаруживается SSL-сертификат с SHA-1 b8cff709950cfa86665363d9553532db9922265c, который также встречается на IP-адресе 67.229.97[.]229, упомянутом в отчете CrowdStrike за 2018 год. Дальнейшее изучение позволяет выйти на некоторые домены из отчета Kaspersky от 2013 года.

Все это приводит нас к выводу, что данные атаки на основе LNK-файлов проводились группой Winnti (APT41), которая позаимствовала у Higaisa технику использования ярлыков.

Фрагмент сетевой инфраструктуры
Фрагмент сетевой инфраструктуры

Бэкдор Crosswalk

Crosswalk представляет собой модульный бэкдор, реализованный в виде шеллкода. Его основной компонент отвечает за установку соединения с управляющим сервером, сбор и отправку информации о системе и имеет функциональность для установки и исполнения до 20 дополнительных модулей, принимаемых с сервера в виде шеллкода.

Собираемая информация включает в себя:

  • время работы ОС (uptime);

  • IP-адреса сетевых адаптеров;

  • MAC-адрес одного из адаптеров;

  • версию и разрядность операционной системы;

  • имя пользователя;

  • имя компьютера;

  • имя исполняемого модуля;

  • PID процесса;

  • версию и разрядность шеллкода.

Шеллкод имеет как 32-, так и 64-разрядные модификации. Его версии кодируются двумя числами, среди обнаруженных нами — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.

Более детальный анализ одной из версий Crosswalk изложен в исследовании VMWare CarbonBlack.

Загрузчики и инжекторы

Исследование сетевой инфраструктуры и мониторинг новых образцов Crosswalk привели нас к выявлению других вредоносных объектов, содержащих в себе шеллкод Crosswalk в качестве основной нагрузки. Все эти объекты можно условно разделить на две группы ― загрузчики локального шеллкода и его инжекторы. В обоих группах часть образцов дополнительно обфусцирована с помощью VMProtect.

Код внедрения шеллкода в запущенный процесс
Код внедрения шеллкода в запущенный процесс

Инжекторы содержат в себе типичный код, который получает право SeDebugPrivilege, находит PID требуемого процесса и внедряет в него шеллкод. В качестве целевых процессов в разных экземплярах выступают explorer.exe и winlogon.exe.

Обнаруженные нами экземпляры содержат один из трех вариантов полезной нагрузки:

  • Crosswalk,

  • Metasploit stager,

  • FunnySwitch (подробнее об этом бэкдоре в полной версии статьи).

Основная функция образцов из группы загрузчиков локального шеллкода ― извлечение и исполнение шеллкода в текущем процессе. Среди них можно выделить две подгруппы в зависимости от источника шеллкода: он может находиться как в исходном исполняемом файле, так и во внешнем файле в той же директории.

Работа большинства загрузчиков начинается с проверки текущего года, напоминающей поведение образцов из атак с LNK-файлами.

Код главной функции загрузчика
Код главной функции загрузчика

Заключение

Группа Winnti имеет в своем арсенале широкий инструментарий вредоносного ПО, которое активно использует в своих атаках. Группа применяет как массовые инструменты, такие как Metasploit, Cobalt Strike, PlugX, так и собственные разработки, список которых постоянно пополняется. В частности, не позднее мая 2020 года группа начала использовать свой новый бэкдор ― FunnySwitch.

Отличительной особенностью бэкдоров группы является поддержка нескольких транспортных протоколов для соединения с командным сервером, что позволяет затруднить обнаружение вредоносного трафика.

В полном отчете представлен более подробный анализ образцов ВПО, обнаруженных экспертами Positive Technologies. Также в документе описаны примеры атак и техник группировки Winnti.

Теги:winntihigaisaкибергурппировкиинформационная безопасность
Хабы: Блог компании Positive Technologies Информационная безопасность
Рейтинг +3
Количество просмотров 876 Добавить в закладки 4
Комментарии
Комментировать

Похожие публикации

Лучшие публикации за сутки