Содержание
Цели:
- Шпионаж
- Кража интеллектуальной собственности
Общее описание
Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы — шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из собственно разработанного ВПО. Winnti использует сложные методы атак, в числе которых supply-chain и watering hole. Группа точно знает, кто их жертва, она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Белоруссию, Бразилию, Германию, Индию, Монголию, Россию, США, Южную Корею, Японию и др.
Инструменты
- ASPXSpy
- Bisonal
- ChinaChopper
- CROSSWALK
- GEARSHIFT
- GOODLUCK
- Gh0st
- MessageTap
- njRAT
- PACMAN
- PipeMon
- PlugX
- PoisonIVY
- PortReuse
- PWNLNX
- ShadowPad
- SkinnyD
- SWEETCANDLE
- Winnti backdoor
- WIDETONE
- xDll
- ZxShell
Атакуемые отрасли
- Игровая индустрия
- Разработка ПО,
- Авиационно-космическая промышленность
- Энергетика
- Фармацевтика
- Финансовый сектор
- Государственный сектор
- Телекоммуникации
- Строительство
- Образование
Атакуемые страны
- Белоруссия
- Бразилия
- Германия
- Индия
- Монголия
- Россия
- США
- Южная Корея
- Япония
Альтернативные названия группы
- APT41
- AXIOM
- BARIUM
- LEAD
- BlackFly
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/shadowpad-novaya-aktivnost-gruppirovki-winnti/
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/
- https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html
- https://content.fireeye.com/apt-41/rpt-apt41
- https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
- https://securelist.com/winnti-more-than-just-a-game/37029/
- https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
- https://securelist.com/shadowpad-in-corporate-networks/81432/
- https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf
- https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
- https://www.welivesecurity.com/2019/10/14/connecting-dots-exposing-arsenal-methods-winnti/
- https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
- https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
- https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/
- https://quointelligence.eu/2020/04/winnti-group-insights-from-the-past/
- https://exatrack.com/public/winnti_EN.pdf
- https://www.trendmicro.com/en_us/research/17/c/winnti-abuses-github.html
- https://lab52.io/blog/winnti-group-geostrategic-analysis-and-ttp/
- https://401trg.com/burning-umbrella/
- https://401trg.com/an-update-on-winnti/
- http://www.novetta.com/wp-content/uploads/2014/11/Executive_Summary-Final_1.pdf
- https://blogs.blackberry.com/en/2016/10/digitally-signed-malware-targeting-gaming-companies
- https://www.blackberry.com/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf
- https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Initial Access | ||
| T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain | Группа Winnti получала доступ к производственным средам, где она могла внедрять вредоносный код в легитимные подписанные файлы и распространять их среди конечных пользователей |
| T1190 | Exploit Public-Facing Application | Группа Winnti эксплуатировала уязвимости CVE-2020-10189 в Zoho ManageEngine Desktop Central и CVE-2019-19781 в Citrix Application Delivery Controllers, чтобы получить доступ внутрь сети |
| T1566.001 | Spear-phishing Attachment | Группа Winnti рассылала фишинговые письма с вредоносными вложениями |
| T1133 | External Remote Services | Группа Winnti скомпрометировала VPN-канал между онлайн-сервисом по выставлению платежей и атакуемой организацией |
| Execution | ||
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группа Winnti использовала PowerShell для установки ВПО на зараженных системах |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа Winnti использовала cmd.exe / c — для выполнения команд на удаленных машинах |
| T1059.004 | Command and Scripting Interpreter: Unix Shell | Группа Winnti использовала unix shell при эксплуатациях уязвимости CVE-2019-19781 на устройствах Citrix |
| T1203 | Exploitation for Client Execution | Группа Winnti использовала в своих атаках следующие эксплойты: CVE-2012-0158, CVE-2015-1641, CVE-2017-0199, CVE-2017-11882, CVE-2018-20250 |
| T1204.002 | User Execution: Malicious File | Группа Winnti пыталась заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте |
| T1569.002 | System Services: Service Execution | Группа Winnti использовала дроппер, который создавал новую службу на зараженной машине для выполнения xDll |
| T1085 | Rundll32 | Группа Winnti использовала установщик, который загружал DLL с помощью rundll32 |
| T1218 | Signed Binary Proxy Execution | Группа Winnti использовала легитимный файл Windows consent.exe для запуска вредоносной библиотеки |
| Persistence | ||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа Winnti закреплялась на зараженной машине через ветку реестра с параметрами автозагрузки |
| T1543.003 | Create or Modify System Process: Windows Service | Группа Winnti закреплялась на зараженной машине через создание новых сервисов |
| T1078 | Valid Accounts | Группа Winnti использовала украденные учетные записи для доступа внутрь сети |
| T1136.001 | Create Account: Local Account | Группа Winnti создавала пользователя на зараженном компьютере |
| T1542.003 | Pre-OS Boot: Bootkit | Группа Winnti меняла MBR на зараженном компьютере для закрепления |
| Privilege escaltion | ||
| T1546.008 | Event Triggered Execution: Accessibility Features | Группа Winnti использовала уязвимость в Sticky key для повышения привилегий |
| Defense evasion | ||
| T1553.002 | Subvert Trust Controls: Code Signing | Группа Winnti использовала украденные сертификаты для подписи вредоносного кода |
| T1140 | Deobfuscate/Decode Files or Information | Группа Winnti использовала собственный алгоритм для дешифровки полезной нагрузки |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа Winnti в некоторых случаях хранила свое ВПО в скрытых папках по пути C:\ProgramData |
| T1027 | Obfuscated Files or Information | Группа Winnti использовала различные обфускаторы для своего ВПО, например VMProtect |
| T1027.002 | Obfuscated Files or Information: Software Packing | Группа Winnti использовала собственный упаковщик для PortReuse |
| T1055 | Process Injection | Группа Winnti использовала ВПО ShadowPad, которое инжектится в процесс wmplayer.exe |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | Группа Winnti использовала легитимные утилиты, уязвимые к DLL Side-Loading |
| T1197 | BITS Jobs | Группа Winnti использовала BITSAdmin для загрузки и установки полезной нагрузки |
| T1070.001 | Indicator Removal on Host: Clear Windows Event Logs | Группа Winnti пыталась скрыть следы своей активности на зараженном компьютере путем удаления событий из системных журналов |
| T1070.003 | Indicator Removal on Host: Clear Command History | Группа Winnti скрывала следы своей активности на зараженном компьютере путем удаления истории Bash |
| T1070.004 | Indicator Removal on Host: File Deletion | Группа Winnti удаляла файлы со скомпрометированной системы |
| T1036.005 | Masquerading: Match Legitimate Name or Location | Группа Winnti маскировала свое ВПО под антивирусы |
| T1112 | Modify Registry | Группа Winnti использовала ВПО под названием GOODLUCK, с помощью которого можно модифицировать реестр и красть учетные данные |
| T1014 | Rootkit | Группа Winnti устанавливала руткиты на Linux-системы |
| T1218.001 | Signed Binary Proxy Execution: Compiled HTML File | Группа Winnti использовала CHM-файлы в атаках |
| Credential Access | ||
| T1555 | Credentials from Password Stores | Группа Winnti использовала утилиту LaZagne для получения паролей из различных хранилищ |
| T1003.001 | OS Credential Dumping: LSASS Memory | Группа Winnti использовала утилиту get_lsass для получения паролей |
| T1110.002 | Brute Force: Password Cracking | Группа Winnti использовала атаку методом подбора пароля для учетной записи локального администратора |
| Discovery | ||
| T1087.001 | Account Discovery: Local Account | Группа Winnti собирала информацию о пользователях зараженного компьютера |
| T1087.002 | Account Discovery: Domain Account | Группа Winnti собирала информацию о пользователях домена |
| T1083 | File and Directory Discovery | Группа Winnti использовала команду file /bin/pwd для получения информации об архитектуре системы |
| T1069.002 | Permission Groups Discovery: Domain Groups | Группа Winnti собирала информацию о доменных группах |
| T1046 | Network Service Scanning | Группа Winnti использовала ВПО под названием WIDESTONE для сканирования портов в определенных подсетях |
| T1135 | Network Share Discovery | Группа Winnti использовала команду net share для разведки внутри сети |
| T1016 | System Network Configuration Discovery | Группа Winnti собирала MAC-адреса скомпрометированных компьютеров |
| Lateral movement | ||
| T1021.001 | Remote Services: Remote Desktop Protocol | Группа Winnti использовала RDP для передвижения внутри сети |
| T1056.001 | Input Capture: Keylogging | Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль keylogger |
| T1113 | Screen Capture | Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль, делающий скриншоты |
| T1560.001 | Archive Collected Data: Archive via Utility | Группа Winnti использовала RAR-архивы для выгрузки похищенных данных |
| Command And Control | ||
| T1043 | Commonly Used Port | Группа Winnti использовала стандартные порты для соединения с С2: 80, 443 |
| T1071.001 | Application Layer Protocol: Web Protocols | Группа Winnti использовала стандартные протоколы для соединения с С2: HTTP и HTTPS |
| T1071.002 | Application Layer Protocol: File Transfer Protocols | Группа Winnti использовала эксплойт для инициализации загрузки ВПО через протокол FTP |
| T1071.004 | Application Layer Protocol: DNS | Группа Winnti использовала протокол DNS для связи с C2 |
| T1095 | Non-Application Layer Protocol | Группа Winnti использовала ВПО ShadowPad, которое использует UDP или TCP для соединения с С2 |
| T1568 | Dynamic Resolution: Domain Generation Algorithms | Группа Winnti использовала DGA для смены C2 раз в месяц |
| T1008 | Fallback Channels | Группа Winnti использовала страницу в сервисе Steam как запасной канал взаимодействия с C2 |
| T1105 | Ingress Tool Transfer | Группа Winnti загружала дополнительное ВПО или модули с контрольного сервера |
| T1104 | Multi-Stage Channels | Группа Winnti использовала бэкдор под название BEACON, с помощью которого загружается второстепенный бэкдор |
| Impact | ||
| T1486 | Data Encrypted for Impact | Группа Winnti использовала вымогатель под названием Encryptor RaaS для шифрования файлов на зараженном компьютере |
