• Главная
  • Исследования
  • Хакерские группировки
  • Winnti

Winnti

Альтернативные названия: APT41, AXIOM, BARIUM, LEAD, BlackFly
Атакуемые отрасли:
  • Государственный сектор
  • Финансовый сектор
  • Энергетика
  • Игровая индустрия
  • Разработка ПО
  • Авиационно-космическая промышленность
  • Телекоммуникации
  • Строительство
  • Образование
  • Фармацевтика

Содержание

  • Общее описание
  • Инструменты
  • Атакуемые отрасли
  • Атакуемые страны
  • Альтернативные названия группы
  • Отчеты Positive Technologies и других исследователей
  • Тактики из MITRE ATT&CK, использованные группой

Цели:

  • Шпионаж
  • Кража интеллектуальной собственности

Общее описание

Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы — шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из собственно разработанного ВПО. Winnti использует сложные методы атак, в числе которых supply-chain и watering hole. Группа точно знает, кто их жертва, она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Белоруссию, Бразилию, Германию, Индию, Монголию, Россию, США, Южную Корею, Японию и др.

Инструменты

  • ASPXSpy
  • Bisonal
  • ChinaChopper
  • CROSSWALK
  • GEARSHIFT
  • GOODLUCK
  • Gh0st
  • MessageTap
  • njRAT
  • PACMAN
  • PipeMon
  • PlugX
  • PoisonIVY
  • PortReuse
  • PWNLNX
  • ShadowPad
  • SkinnyD
  • SWEETCANDLE
  • Winnti backdoor
  • WIDETONE
  • xDll
  • ZxShell

Атакуемые отрасли

  • Игровая индустрия
  • Разработка ПО,
  • Авиационно-космическая промышленность
  • Энергетика
  • Фармацевтика
  • Финансовый сектор
  • Государственный сектор
  • Телекоммуникации
  • Строительство
  • Образование

Атакуемые страны

  • Белоруссия
  • Бразилия
  • Германия
  • Индия
  • Монголия
  • Россия
  • США
  • Южная Корея
  • Япония

Альтернативные названия группы

  • APT41
  • AXIOM
  • BARIUM
  • LEAD
  • BlackFly

Отчеты Positive Technologies и других исследователей

  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/shadowpad-novaya-aktivnost-gruppirovki-winnti/
  • https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/
  • https://www.fireeye.com/blog/threat-research/2019/10/messagetap-who-is-reading-your-text-messages.html
  • https://content.fireeye.com/apt-41/rpt-apt41
  • https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
  • https://securelist.com/winnti-more-than-just-a-game/37029/
  • https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
  • https://securelist.com/shadowpad-in-corporate-networks/81432/
  • https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf
  • https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
  • https://www.welivesecurity.com/2019/10/14/connecting-dots-exposing-arsenal-methods-winnti/
  • https://www.welivesecurity.com/2019/10/21/winnti-group-skip2-0-microsoft-sql-server-backdoor/
  • https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
  • https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/
  • https://quointelligence.eu/2020/04/winnti-group-insights-from-the-past/
  • https://exatrack.com/public/winnti_EN.pdf
  • https://www.trendmicro.com/en_us/research/17/c/winnti-abuses-github.html
  • https://lab52.io/blog/winnti-group-geostrategic-analysis-and-ttp/
  • https://401trg.com/burning-umbrella/
  • https://401trg.com/an-update-on-winnti/
  • http://www.novetta.com/wp-content/uploads/2014/11/Executive_Summary-Final_1.pdf
  • https://blogs.blackberry.com/en/2016/10/digitally-signed-malware-targeting-gaming-companies
  • https://www.blackberry.com/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf
  • https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/

Тактики из MITRE ATT&CK, использованные группой

ID Название Описание
Initial Access
T1195.002 Supply Chain Compromise: Compromise Software Supply Chain Группа Winnti получала доступ к производственным средам, где она могла внедрять вредоносный код в легитимные подписанные файлы и распространять их среди конечных пользователей
T1190 Exploit Public-Facing Application Группа Winnti эксплуатировала уязвимости CVE-2020-10189 в Zoho ManageEngine Desktop Central и CVE-2019-19781 в Citrix Application Delivery Controllers, чтобы получить доступ внутрь сети
T1566.001 Spear-phishing Attachment Группа Winnti рассылала фишинговые письма с вредоносными вложениями
T1133 External Remote Services Группа Winnti скомпрометировала VPN-канал между онлайн-сервисом по выставлению платежей и атакуемой организацией
Execution
T1059.001 Command and Scripting Interpreter: PowerShell Группа Winnti использовала PowerShell для установки ВПО на зараженных системах
T1059.003 Command and Scripting Interpreter: Windows Command Shell Группа Winnti использовала cmd.exe / c — для выполнения команд на удаленных машинах
T1059.004 Command and Scripting Interpreter: Unix Shell Группа Winnti использовала unix shell при эксплуатациях уязвимости CVE-2019-19781 на устройствах Citrix
T1203 Exploitation for Client Execution Группа Winnti использовала в своих атаках следующие эксплойты: CVE-2012-0158, CVE-2015-1641, CVE-2017-0199, CVE-2017-11882, CVE-2018-20250
T1204.002 User Execution: Malicious File Группа Winnti пыталась заставить пользователей запускать вредоносные вложения, доставляемые по электронной почте
T1569.002 System Services: Service Execution Группа Winnti использовала дроппер, который создавал новую службу на зараженной машине для выполнения xDll
T1085 Rundll32 Группа Winnti использовала установщик, который загружал DLL с помощью rundll32
T1218 Signed Binary Proxy Execution Группа Winnti использовала легитимный файл Windows consent.exe для запуска вредоносной библиотеки
Persistence
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Группа Winnti закреплялась на зараженной машине через ветку реестра с параметрами автозагрузки
T1543.003 Create or Modify System Process: Windows Service Группа Winnti закреплялась на зараженной машине через создание новых сервисов
T1078 Valid Accounts Группа Winnti использовала украденные учетные записи для доступа внутрь сети
T1136.001 Create Account: Local Account Группа Winnti создавала пользователя на зараженном компьютере
T1542.003 Pre-OS Boot: Bootkit Группа Winnti меняла MBR на зараженном компьютере для закрепления
Privilege escaltion
T1546.008 Event Triggered Execution: Accessibility Features Группа Winnti использовала уязвимость в Sticky key для повышения привилегий
Defense evasion
T1553.002 Subvert Trust Controls: Code Signing Группа Winnti использовала украденные сертификаты для подписи вредоносного кода
T1140 Deobfuscate/Decode Files or Information Группа Winnti использовала собственный алгоритм для дешифровки полезной нагрузки
T1564.001 Hide Artifacts: Hidden Files and Directories Группа Winnti в некоторых случаях хранила свое ВПО в скрытых папках по пути C:\ProgramData
T1027 Obfuscated Files or Information Группа Winnti использовала различные обфускаторы для своего ВПО, например VMProtect
T1027.002 Obfuscated Files or Information: Software Packing Группа Winnti использовала собственный упаковщик для PortReuse
T1055 Process Injection Группа Winnti использовала ВПО ShadowPad, которое инжектится в процесс wmplayer.exe
T1574.002 Hijack Execution Flow: DLL Side-Loading Группа Winnti использовала легитимные утилиты, уязвимые к DLL Side-Loading
T1197 BITS Jobs Группа Winnti использовала BITSAdmin для загрузки и установки полезной нагрузки
T1070.001 Indicator Removal on Host: Clear Windows Event Logs Группа Winnti пыталась скрыть следы своей активности на зараженном компьютере путем удаления событий из системных журналов
T1070.003 Indicator Removal on Host: Clear Command History Группа Winnti скрывала следы своей активности на зараженном компьютере путем удаления истории Bash
T1070.004 Indicator Removal on Host: File Deletion Группа Winnti удаляла файлы со скомпрометированной системы
T1036.005 Masquerading: Match Legitimate Name or Location Группа Winnti маскировала свое ВПО под антивирусы
T1112 Modify Registry Группа Winnti использовала ВПО под названием GOODLUCK, с помощью которого можно модифицировать реестр и красть учетные данные
T1014 Rootkit Группа Winnti устанавливала руткиты на Linux-системы
T1218.001 Signed Binary Proxy Execution: Compiled HTML File Группа Winnti использовала CHM-файлы в атаках
Credential Access
T1555 Credentials from Password Stores Группа Winnti использовала утилиту LaZagne для получения паролей из различных хранилищ
T1003.001 OS Credential Dumping: LSASS Memory Группа Winnti использовала утилиту get_lsass для получения паролей
T1110.002 Brute Force: Password Cracking Группа Winnti использовала атаку методом подбора пароля для учетной записи локального администратора
Discovery
T1087.001 Account Discovery: Local Account Группа Winnti собирала информацию о пользователях зараженного компьютера
T1087.002 Account Discovery: Domain Account Группа Winnti собирала информацию о пользователях домена
T1083 File and Directory Discovery Группа Winnti использовала команду file /bin/pwd для получения информации об архитектуре системы
T1069.002 Permission Groups Discovery: Domain Groups Группа Winnti собирала информацию о доменных группах
T1046 Network Service Scanning Группа Winnti использовала ВПО под названием WIDESTONE для сканирования портов в определенных подсетях
T1135 Network Share Discovery Группа Winnti использовала команду net share для разведки внутри сети
T1016 System Network Configuration Discovery Группа Winnti собирала MAC-адреса скомпрометированных компьютеров
Lateral movement
T1021.001 Remote Services: Remote Desktop Protocol Группа Winnti использовала RDP для передвижения внутри сети
T1056.001 Input Capture: Keylogging Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль keylogger
T1113 Screen Capture Группа Winnti использовала ВПО ShadowPad, в котором имеется модуль, делающий скриншоты
T1560.001 Archive Collected Data: Archive via Utility Группа Winnti использовала RAR-архивы для выгрузки похищенных данных
Command And Control
T1043 Commonly Used Port Группа Winnti использовала стандартные порты для соединения с С2: 80, 443
T1071.001 Application Layer Protocol: Web Protocols Группа Winnti использовала стандартные протоколы для соединения с С2: HTTP и HTTPS
T1071.002 Application Layer Protocol: File Transfer Protocols Группа Winnti использовала эксплойт для инициализации загрузки ВПО через протокол FTP
T1071.004 Application Layer Protocol: DNS Группа Winnti использовала протокол DNS для связи с C2
T1095 Non-Application Layer Protocol Группа Winnti использовала ВПО ShadowPad, которое использует UDP или TCP для соединения с С2
T1568 Dynamic Resolution: Domain Generation Algorithms Группа Winnti использовала DGA для смены C2 раз в месяц
T1008 Fallback Channels Группа Winnti использовала страницу в сервисе Steam как запасной канал взаимодействия с C2
T1105 Ingress Tool Transfer Группа Winnti загружала дополнительное ВПО или модули с контрольного сервера
T1104 Multi-Stage Channels Группа Winnti использовала бэкдор под название BEACON, с помощью которого загружается второстепенный бэкдор
Impact
T1486 Data Encrypted for Impact Группа Winnti использовала вымогатель под названием Encryptor RaaS для шифрования файлов на зараженном компьютере

Группировки, атакующие такие же отрасли:

  • APT31
  • APT32
  • Bronze Union
  • Calypso
  • ChamelGang
Поделиться:
Ссылка скопирована
Вернуться к выбору статей
Решения
  • PT XDR
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Безопасность Linux-систем
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • MaxPatrol O2
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Мероприятия
  • Вакансии
  • Новости
  • Пресс-центр
  • Контакты
  • Документация и материалы
  • Долговые инструменты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта