黑客组织 Winnti 被认为是 2024 年 3 月针对日本制造、材料和能源行业的公司的一项新活动 RevivalStone 的幕后黑手。
日本网络安全公司 LAC 详细说明的这次活动,与 Trend Micro 跟踪的 Earth Freybug 威胁集群重叠,该集群已被评估为 APT41 网络间谍组织的一个子集,Cybereason 将其称为 Operation CuckooBees,Symantec 则将其称为 Blackfly。
APT41 被描述为一个高度熟练且有条理的行动者,能够进行间谍活动并污染供应链。其活动通常以隐蔽为目的,利用多种战术通过定制工具集实现目标,这些工具不仅可以绕过环境中安装的安全软件,还能收集关键信息并建立秘密通道以保持远程访问。
“该组织的间谍活动,许多与国家的战略目标一致,已针对全球范围内的各种公共和私营行业部门,”LAC 表示。
“该威胁组织的攻击特点是使用 Winnti 恶意软件,该软件具有独特的根kit,可隐藏和操纵通信,以及在恶意软件中使用被盗的合法数字证书。”
自 2012 年以来一直活跃的 Winnti,截至 2022 年主要针对亚洲的制造和材料相关组织,最近的活动在 2023 年 11 月至 2024 年 10 月期间针对亚太地区,利用 IBM Lotus Domino 等面向公众的应用程序的漏洞部署恶意软件,如下所示:
DEATHLOTUS:一种被动的 CGI 后门,支持文件创建和命令执行。
UNAPIMON:一种用 C++ 编写的防御规避工具。
PRIVATELOG:一种加载器,用于投放 Winnti RAT(也称为 DEPLOYLOG),进而通过根kit 安装程序交付名为 WINNKIT 的内核级根kit。
CUNNINGPIGEON:一种利用 Microsoft Graph API 从邮件消息中获取命令(文件和进程管理以及自定义代理)的后门。
WINDJAMMER:一种具有拦截 TCPIP 网络接口以及在内网中与受感染端点创建秘密通道的能力的根kit。
SHADOWGAZE:一种利用 IIS 网站服务器的监听端口的被动后门。
LAC 记录的最新攻击链发现,攻击者利用一个未指定的企业资源规划(ERP)系统中的 SQL 注入漏洞,在受感染的服务器上投放 China Chopper 和 Behinder(也称为 Bingxia 和 IceScorpion)等 web shell,利用这些访问权限进行侦察、收集横向移动的凭据,并交付 Winnti 恶意软件的改进版本。
据说,这次入侵的范围进一步扩大,通过利用共享账户攻破了一家托管服务提供商(MSP),随后利用该公司的基础设施将恶意软件传播到另外三个组织。
LAC 表示,还在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的引用,前者是一个旨在与 Winnti 恶意软件配合使用的控制器,也包含在去年 I-Soon(也称为 Anxun)泄露的 Linux 恶意软件控制面板中。
“如果 TreadStone 与 Winnti 恶意软件具有相同的含义,这仅是推测,但 StoneV5 也可能意味着版本 5,有可能这次攻击中使用的恶意软件是 Winnti v5.0,”研究人员 Takuma Matsumoto 和 Yoshihiro Ishikawa 表示。
“新的 Winnti 恶意软件增加了混淆、更新的加密算法和规避安全产品的功能,预计该攻击组织将继续更新 Winnti 恶意软件的功能并将其用于攻击。”
这一披露正值 Fortinet FortiGuard Labs 详细说明了一种名为 SSHDInjector 的基于 Linux 的攻击套件,该套件自 2024 年 11 月以来能够通过将恶意软件注入进程来劫持网络设备上的 SSH 守护进程,以实现持续访问和秘密操作。
发表评论