'Winnti' olarak bilinen Çin hack grubu, 2019'dan beri araştırmacılar ve hedefler tarafından tespit edilmediğinde, patentler, telif hakları, ticari markalar ve diğer kurumsal veriler gibi fikri mülkiyet varlıklarını gizli bir şekilde çalıyor.
APT41 olarak da izlenen Winnti, Çin devleti tarafından desteklendiğine inanılan ve ulusal çıkarları adına faaliyet gösteren gelişmiş ve zor bir siber-karşıt grubudur.
Keşfedilen siber suç kampanyası en az 2019'dan beri devam ediyor ve Doğu Asya, Batı Avrupa ve Kuzey Amerika'daki teknoloji ve üretim firmalarını hedef aldı.
Bu suç operasyonu 'Cuckoobees Operasyonu' olarak bilinir ve ünlü bir hacker grubu tarafından konuşlandırılan yeni kötü amaçlı yazılımları, saldırı için kullandıkları mekanizmalar ve kullandıkları karmaşık yük dağıtım yöntemlerini ortaya çıkaran Cyberseason'daki analistler tarafından keşfedildi.
"Yıllarca gizlice keşif yapmak ve değerli verileri tanımlamak için, grubun yüzlerce gigabayt bilgi vermeyi başardığı tahmin edilmektedir.
Saldırganlar, hassas belgeler, planlar, diyagramlar, formüller ve üretime bağlı özel veriler de dahil olmak üzere kurbanlar tarafından geliştirilen fikri mülkiyeti hedef aldı. - Cyberseason.
"Cuckoobees" tarafından ortaya çıkan mali kayıpların belirlenmesi zordur, ancak rakam operasyonu son yılların en zararlı siber kampanyaları arasında yer alan bir ölçekte olmalıdır.
Operasyonda gözlemlenen enfeksiyon zinciri, hedefler tarafından kullanılan ERP platformlarında bilinen ve sıfır gün güvenlik açıklarından yararlanmakla başlar.
Winnti, uzaktan erişim için WINRM protokolünü, DLL yan yükleme için Windows hizmetlerini veya baskılardan Windows hizmetlerini kötüye kullanarak veya imzalı bir çekirdek rootkit yükleyerek kodlanmış bir webshell aracılığıyla kalıcılık oluşturur.
Ağlarda bir dayanak kazandıktan sonra, bilgisayar korsanları 'SystemInfo', 'Net Start', 'Net Kullanıcı' ve 'Dir C: \' gibi yerleşik Windows komutlarını kullanarak, şüpheli için herhangi bir uyarıyı tetikleme olasılığı düşüktür. Etkinlik, planlanmış bir görev aracılığıyla toplu dosyalarda çalıştığında bile.
Kimlik bilgisi boşaltma için Winnti, çalınan şifreleri güvenli bir yerde veya 'mfsdll.exe' adlı daha önce belgelenmemiş bir aracın varyantına kaydetmek için 'reg kaydet' komutunu kullanır.
Yanal hareket için, bilgisayar korsanları bir dizi özel toplu dosyayla birlikte Windows planlanan görevleri kötüye kullanmaya devam ediyor.
Son olarak, veri toplama ve exfiltration için, tehdit aktörleri geçerli bir dijital imza içeren ve yürütülebilir dosyası için "Rundll32.exe" kullanan taşınabilir bir komut satırı Winrar uygulaması kullanır.
Cybereason'un raporunda göze çarpan şey, "Dipploge" olarak adlandırılan yeni bir Winnti kötü amaçlı yazılım ve yük gizleme için Windows CLFS (Ortak Günlük Dosyası Sistemi) mekanizmasının kötüye kullanılması yöntemidir.
CLFS, yalnızca sistemin API işlevleri aracılığıyla erişilebilen tescilli bir dosya biçimi kullanan Windows OSE'ler için dahili bir günlük sistemidir. Bu nedenle, günlük dosyaları AV tarayıcıları tarafından atlanırken, insan müfettişlerinin onları ayrıştırabilecek bir aracı yoktur.
Winnti, bu sistemi CLFS günlük formundaki hedef sisteme bırakılan yüklerini saklamak ve gizlemek için kötüye kullanır ve daha sonra CLFS API çağrıları aracılığıyla çıkarılır ve yürütülür.
Daha önce belgelenmemiş olan dağıtım kötü amaçlı yazılımı, Winnti'nin son yükünü, Winnkit rootkit'i çıkaran ve yürüten ve daha sonra uzak C2 ve daha sonra iki iletişim kanalı oluşturan 64 bit bir DLL'dir ("dbghelp.dll" olarak görünen) Çekirdek seviyesi rootkit.
Windows CLFS'yi kötüye kullanmak için kullanılan kötü amaçlı yazılımların bazıları daha önce Mantiant tarafından keşfedilmiş, ancak herhangi bir tehdit aktörüne atfedilmemiştir.
Winnkit, geçmişte kapsamlı bir şekilde analiz edilen tehdit oyuncunun en kaçınma ve sofistike yüküdür. Yine de, bunca zamandan sonra bile, anti-virüs tespiti için büyük ölçüde geçirimsiz kalır.
Cuckoobe operasyonunda Winnkit, kötü amaçlı modüllerini meşru SVCHOST işlemlerine enjekte etmek için yansıtıcı yükleme enjeksiyonu kullanır.
CyberEason tarafından yapılan kötü amaçlı yazılım raporu, "Winnkit, sürücülerin başarılı bir şekilde yüklenmesi için dijital imzalarla düzgün bir şekilde imzalanmasını gerektiren sürücü imzası uygulama (DSE) mekanizmasını atlamak için kullanılan süresi dolmuş bir Benq dijital imzası içeriyor."
"Bu mekanizma ilk olarak Windows Vista 64-bit'te tanıtıldı ve o zamandan beri Windows'un tüm sürümlerini etkiliyor."
Başarılı başlatma işleminden sonra Winnkit, ağ iletişimini bağlayacak ve DePlaptLog aracılığıyla özel komutlar almaya başlayacaktır.
Son birkaç yıl içinde ABD Adalet Bakanlığı tarafından açıklanan Winnti üyelerinin iddianamelerine rağmen ve araçlarını ve taktiklerini analiz eden kaç teknik rapor yayınlansa da, kötü şöhretli Çin siber-ihale grubu aktif ve çalışkan kalıyor.
Cyberseason, operasyonun karmaşıklığı, gizliliği ve sofistike olması nedeniyle, Winnti'nin doğrulayabildiklerinden daha fazla şirketten ödün vermesinin muhtemel olduğuna inanıyor.
Bu tür tehditlere karşı savunucular için en iyi bahis, tüm yazılımlarını mevcut en son sürümlere güncellemek, tüm ağ trafiğini izlemek ve ağ segmentasyonunu kullanmaktır.
Winnti'nin TTP'leri hakkında daha fazla ayrıntı için, tekniklere odaklanan ek bir Cyberseason blog parçasına veya kampanyada kullanılan kötü amaçlı yazılımlara adanmış üçüncü bir bölüme göz atın.
Çin Hacking Group, yeni 'Fire Chili' Windows Rootkit kullanıyor
Google: Çin devlet hackerları Rus govt ajanslarını hedef almaya devam ediyor
Çin Siber-İzin Grubu Moshen Dragon Hedefleri Asya Telcos
Çin devlet destekli bilgisayar korsanları artık Rus devlet memurlarını hedef
2021 sırasında çoğu sıfır gün istismarının arkasındaki Çinli hackerlar
Kaynak: Bleeping Computer