Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Хакерские группировки
  • Winnti

Winnti

Альтернативные названия: APT41, AXIOM, BARIUM, LEAD, BlackFly
Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Энергетика
  • Игровая индустрия
  • Разработка ПО
  • Авиационно-космическая промышленность
  • Телекоммуникации
  • Строительство
  • Образование
  • Фармацевтика

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж
  • Кража интеллектуальной собственности

Общее описание

Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы — шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из собственно разработанного ВПО. Winnti использует сложные методы атак, в числе которых supply-chain и watering hole. Группа точно знает, кто их жертва, она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Белоруссию, Бразилию, Германию, Индию, Монголию, Россию, США, Южную Корею, Японию и др.

Инструменты

  • ASPXSpy
  • Bisonal
  • ChinaChopper
  • CROSSWALK
  • GEARSHIFT
  • GOODLUCK
  • Gh0st
  • MessageTap
  • njRAT
  • PACMAN
  • PipeMon
  • PlugX
  • PoisonIVY
  • PortReuse
  • PWNLNX
  • ShadowPad
  • SkinnyD
  • SWEETCANDLE
  • Winnti backdoor
  • WIDETONE
  • xDll
  • ZxShell

Атакуемые отрасли

  • Игровая индустрия
  • Разработка ПО,
  • Авиационно-космическая промышленность
  • Энергетика
  • Фармацевтика
  • Финансовый сектор
  • Государственный сектор
  • Телекоммуникации
  • Строительство
  • Образование

Атакуемые страны

  • Белоруссия
  • Бразилия
  • Германия
  • Индия
  • Монголия
  • Россия
  • США
  • Южная Корея
  • Япония

Альтернативные названия группы

  • APT41
  • AXIOM
  • BARIUM
  • LEAD
  • BlackFly

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/shadowpad-novaya-aktivnost-gruppirovki-winnti/
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/
  • https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html
  • https://content.fireeye.com/apt-41/rpt-apt41
  • https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
  • https://securelist.com/winnti-more-than-just-a-game/37029/
  • https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
  • https://securelist.com/shadowpad-in-corporate-networks/81432/
  • https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf
  • https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
  • https://www.welivesecurity.com/2019/10/14/connecting-dots-exposing-arsenal-methods-winnti/
  • https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
  • https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
  • https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/
  • https://quointelligence.eu/2020/04/winnti-group-insights-from-the-past/
  • https://exatrack.com/public/winnti_EN.pdf
  • https://www.trendmicro.com/en_us/research/17/c/winnti-abuses-github.html
  • https://lab52.io/blog/winnti-group-geostrategic-analysis-and-ttp/
  • https://401trg.com/burning-umbrella/
  • https://401trg.com/an-update-on-winnti/
  • http://www.novetta.com/wp-content/uploads/2014/11/Executive_Summary-Final_1.pdf
  • https://blogs.blackberry.com/en/2016/10/digitally-signed-malware-targeting-gaming-companies
  • https://www.blackberry.com/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf
  • https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1195.002 Supply Chain Compromise: Compromise Software Supply Chain Группа Winnti получала доступ к производственным средам, где она могла внедрять вредоносный код в легитимные подписанные файлы и распространять их среди конечных пользователей
T1190 Exploit Public-Facing Application Группа Winnti эксплуатировала уязвимости CVE-2020-10189 в Zoho ManageEngine Desktop Central и CVE-2019-19781 в Citrix Application Delivery Controllers, чтобы получить доступ внутрь сети
T1566.001 Spear-phishing Attachment Группа Winnti рассылала фишинговые письма с вредоносными вложениями
T1133 External Remote Services Группа Winnti скомпрометировала VPN-канал между онлайн-сервисом по выставлению платежей и атакуемой организацией
Execution
T1059.001 Command and Scripting Interpreter: PowerShell Группа Winnti использовала PowerShell для установки ВПО на зараженных системах
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Winnti использовала cmd.exe / c — для выполнения команд на удаленных машинах
T1059.004 Command and Scripting Interpreter: Unix Shell Группа Winnti использовала unix shell при эксплуатациях уязвимости CVE-2019-19781 на устройствах Citrix
T1203 Exploitation for Client Execution Группа Winnti использовала в своих атаках следующие эксплойты: CVE-2012-0158, CVE-2015-1641, CVE-2017-0199, CVE-2017-11882, CVE-2018-20250
T1204.002 User Execution: Malicious File Группа Winnti пыталась заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
T1569.002 System Services: Service Execution Группа Winnti использовала дроппер, который создавал новую службу на зараженной машине для выполнения xDll
T1085 Rundll32 Группа Winnti использовала установщик, который загружал DLL с помощью rundll32
T1218 Signed Binary Proxy Execution Группа Winnti использовала легитимный файл Windows consent.exe для запуска вредоносной библиотеки
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Winnti закреплялась на зараженной машине через ветку реестра с параметрами автозагрузки
T1543.003 Create or Modify System Process: Windows Service Группа Winnti закреплялась на зараженной машине через создание новых сервисов
T1078 Valid Accounts Группа Winnti использовала украденные учетные записи для доступа внутрь сети
T1136.001 Create Account: Local Account Группа Winnti создавала пользователя на зараженном компьютере
T1542.003 Pre-OS Boot: Bootkit Группа Winnti меняла MBR на зараженном компьютере для закрепления
Privilege escaltion
T1546.008 Event Triggered Execution: Accessibility Features Группа Winnti использовала уязвимость в Sticky key для повышения привилегий
Defense evasion
T1553.002 Subvert Trust Controls: Code Signing Группа Winnti использовала украденные сертификаты для подписи вредоносного кода
T1140 Deobfuscate/Decode Files or Information Группа Winnti использовала собственный алгоритм для дешифровки полезной нагрузки
T1564.001 Hide Artifacts: Hidden Files and Directories Группа Winnti в некоторых случаях хранила свое ВПО в скрытых папках по пути C:\ProgramData
T1027 Obfuscated Files or Information Группа Winnti использовала различные обфускаторы для своего ВПО, например VMProtect
T1027.002 Obfuscated Files or Information: Software Packing Группа Winnti использовала собственный упаковщик для PortReuse
T1055 Process Injection Группа Winnti использовала ВПО ShadowPad, которое инжектится в процесс wmplayer.exe
T1574.002 Hijack Execution Flow: DLL Side-Loading Группа Winnti использовала легитимные утилиты, уязвимые к DLL Side-Loading
T1197 BITS Jobs Группа Winnti использовала BITSAdmin для загрузки и установки полезной нагрузки
T1070.001 Indicator Removal on Host: Clear Windows Event Logs Группа Winnti пыталась скрыть следы своей активности на зараженном компьютере путем удаления событий из системных журналов
T1070.003 Indicator Removal on Host: Clear Command History Группа Winnti скрывала следы своей активности на зараженном компьютере путем удаления истории Bash
T1070.004 Indicator Removal on Host: File Deletion Группа Winnti удаляла файлы со скомпрометированной системы
T1036.005 Masquerading: Match Legitimate Name or Location Группа Winnti маскировала свое ВПО под антивирусы
T1112 Modify Registry Группа Winnti использовала ВПО под названием GOODLUCK, с помощью которого можно модифицировать реестр и красть учетные данные
T1014 Rootkit Группа Winnti устанавливала руткиты на Linux-системы
T1218.001 Signed Binary Proxy Execution: Compiled HTML File Группа Winnti использовала CHM-файлы в атаках
Credential Access
T1555 Credentials from Password Stores Группа Winnti использовала утилиту LaZagne для получения паролей из различных хранилищ
T1003.001 OS Credential Dumping: LSASS Memory Группа Winnti использовала утилиту get_lsass для получения паролей
T1110.002 Brute Force: Password Cracking Группа Winnti использовала атаку методом подбора пароля для учетной записи локального администратора
Discovery
T1087.001 Account Discovery: Local Account Группа Winnti собирала информацию о пользователях зараженного компьютера
T1087.002 Account Discovery: Domain Account Группа Winnti собирала информацию о пользователях домена
T1083 File and Directory Discovery Группа Winnti использовала команду file /bin/pwd для получения информации об архитектуре системы
T1069.002 Permission Groups Discovery: Domain Groups Группа Winnti собирала информацию о доменных группах
T1046 Network Service Scanning Группа Winnti использовала ВПО под названием WIDESTONE для сканирования портов в определенных подсетях
T1135 Network Share Discovery Группа Winnti использовала команду net share для разведки внутри сети
T1016 System Network Configuration Discovery Группа Winnti собирала MAC-адреса скомпрометированных компьютеров
Lateral movement
T1021.001 Remote Services: Remote Desktop Protocol Группа Winnti использовала RDP для передвижения внутри сети
T1056.001 Input Capture: Keylogging Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль keylogger
T1113 Screen Capture Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль, делающий скриншоты
T1560.001 Archive Collected Data: Archive via Utility Группа Winnti использовала RAR-архивы для выгрузки похищенных данных
Command And Control
T1043 Commonly Used Port Группа Winnti использовала стандартные порты для соединения с С2: 80, 443
T1071.001 Application Layer Protocol: Web Protocols Группа Winnti использовала стандартные протоколы для соединения с С2: HTTP и HTTPS
T1071.002 Application Layer Protocol: File Transfer Protocols Группа Winnti использовала эксплойт для инициализации загрузки ВПО через протокол FTP
T1071.004 Application Layer Protocol: DNS Группа Winnti использовала протокол DNS для связи с C2
T1095 Non-Application Layer Protocol Группа Winnti использовала ВПО ShadowPad, которое использует UDP или TCP для соединения с С2
T1568 Dynamic Resolution: Domain Generation Algorithms Группа Winnti использовала DGA для смены C2 раз в месяц
T1008 Fallback Channels Группа Winnti использовала страницу в сервисе Steam как запасной канал взаимодействия с C2
T1105 Ingress Tool Transfer Группа Winnti загружала дополнительное ВПО или модули с контрольного сервера
T1104 Multi-Stage Channels Группа Winnti использовала бэкдор под название BEACON, с помощью которого загружается второстепенный бэкдор
Impact
T1486 Data Encrypted for Impact Группа Winnti использовала вымогатель под названием Encryptor RaaS для шифрования файлов на зараженном компьютере

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта