Исследуем активность группировки Wintti: бэкдоры Shadowpad, xDLL и новые утилиты развития атак

Исследуем активность группировки Wintti: бэкдоры Shadowpad, xDLL и новые утилиты развития атак

В марте 2020, в рамках исследования угроз информационной безопасности, специалисты PT Expert Security Center обнаружили неизвестный ранее бэкдор и назвали его xDll, по оригинальному названию в коде. Из-за ошибки конфигурации контрольного сервера некоторые из директорий стали доступны извне. 

На сервере были обнаружены новые образцы вредоносного ПО, включая бэкдор Shadowpad, бэкдор xDll, неизвестный ранее Python-бэкдор, утилиты для развития атаки и т.д. Именно Shadowpad позволил связать новый бэкдор и обнаруженные инструменты с кибергруппировкой Winnti и проанализировать возможную связь этой группы с другими масштабными кибератаками.

Полная версия исследования доступна по ссылке , а в этой статье мы перечислим главные факты и выводы.

Winnti и ShadowPad, кого атакуют хакеры

Бэкдор ShadowPad используется группой Winnti (APT41, BARIUM, AXIOM), которая активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством . Ключевые интересы группы — это шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из ВПО собственной разработки. Winnti использует сложные методы атак, в числе которых supply chain и watering hole. 

Группировка атакует компании и организации по всему миру, включая Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию т.д. 

Среди жертв злоумышленников компании и организации из таких отраслей, как авиационно-космическая промышленность, энергетика, разработка ПО, фармацевтика, финансы, телекоммуникации и другие.

Первая атака с использованием ShadowPad была зафиксирована в 2017 году. Бэкдор часто применяется в атаках типа supply chain (такими, к примеру, были взломы CCleaner и ASUS ). Последний отчет об активности группы Winnti с использованием ShadowPad был выпущен компанией ESET в январе 2020 года.

Как мы обнаружили активность хакеров

Поначалу, при анализе бэкдора xDll (см. раздел 2.2), явной принадлежности к какой-либо APT-группе нам обнаружить не удалось. Образец имел крайне интересный контрольный сервер www.g00gle_jp.dynamic-dns[.]net, что потенциально могло говорить об атаках на Японию. Исследуя сетевую инфраструктуру и разыскивая аналогичные образцы, мы обнаружили несколько доменов с похожим названием. 

Названия доменов позволяют предположить, что атаки идут еще и на Южную Корею, Монголию, Россию и США. При дальнейшем исследовании инфраструктуры мы обнаружили несколько простых неизвестных нам загрузчиков, которые обращаются на связанные контрольные серверы и в ответ должны получить полезную нагрузку, зашифрованную с помощью операции XOR на ключе 0x37. Найденный загрузчик мы назвали SkinnyD (Skinny Downloader) из-за его малого размера и скудной функциональности. По структуре URL и некоторым строкам SkinnyD был очень похож на xDll бэкдор. 

Поначалу мы не смогли получить полезную нагрузку для SkinnyD, так как все контрольные серверы были неактивны. Но через некоторое время нам удалось обнаружить новые образцы бэкдора xDll. При анализе одного из них мы нашли открытые папки на его контрольном сервере. Файл с названием x.jpg ― это бэкдор xDll, зашифрованный с помощью операции XOR на ключе 0x37. Это дает право предполагать, что xDll является полезной нагрузкой для SkinnyD. 

Структура открытых директорий на обнаруженном сервере

Самым интересным на сервере оказалось содержимое папки cache.

Содержимое папки cache

В ней находятся данные о жертвах и ВПО, которое загружается на зараженный компьютер. В названии файла жертвы ставится MD5-хеш-сумма от MAC-адреса зараженного компьютера, которые присылает xDll, а в содержимом можно увидеть последнее время соединения с контрольным сервером. По тому, как меняется вторая часть названия файла с ВПО, можно предположить, что в него ставится серверное время в наносекундах, однако оно не является верным: оно относит нас в далекий март 1990 года. Почему был взят такой период времени, нам неизвестно.

В файлах с ВПО мы обнаружили ShadowPad, неизвестный ранее Python-бэкдор и утилиты для развития атаки.

Последствия кибератак

По данным с сервера, заражены более 50 машин. Точное расположение и отраслевую принадлежность всех их нам установить не удалось. Однако, соотнеся время последнего подключения зараженного ПК к серверу и время получения нами файла с этим временем, можно составить карту часовых поясов.

Нам удалось идентифицировать некоторые скомпрометированные организации:

  • университет в США,

  • аудиторская компания в Голландии,

  • две строительные компании — одна в России, другая в Китае,

  • пять фирм — разработчиков ПО: одна в Германии, четыре в России.

Все потенциальные жертвы были уведомлены по линии национальных CERT.

Учитывая, что ShadowPad применялся в supply chain атаках через поставщиков ПО, и мы знаем о компрометации по крайней мере пяти разработчиков ПО, можно утверждать, что либо мы имеем дело с подготовкой к очередному распространению ВПО, либо атака уже находится в активной фазе.

Заключение

Мы проанализировали инфраструктуру группы Winnti, и можем заключить, что активность в ней идет с начала 2019 года. В настоящее время эта инфраструктура только разрастается, что говорит об активных действиях Winnti. Некоторые из скомпрометированных хакерами машин могут послужить «плацдармом» для последующих, более серьезных атак. Группа добавила в свой арсенал несколько новых видов ВПО — SkinnyD, xDll, Python-бэкдор.

В частности, мы нашли связанные домены, ранее использовавшиеся во время атак на организации в России, Белоруссии, Южной Корее и Японии, которые, как тогда считалось, проводили группы ТА459 и Tonto team. Помимо этого выявлены инфраструктурные пересечения с группировкой Nettraveler. 

Конечно, здесь не исключен факт переиспользования инфраструктуры другой группировки для маскировки активности (своего рода аренда инфраструктуры), однако область атак, географическая и отраслевая привязка в значительной мере пересекаются с областью интересов группировки Winnti, поэтому на основании косвенных признаков можно предположить, что за всеми этими атаками на самом деле стоит одна и та же группа киберпреступников. Подробности атрибуции представлены в полной версии исследования .

Резко возросшая активность группы также может быть связана с эпидемией коронавируса. Многие компании отправили своих сотрудников на удаленную работу, и при этом, по нашим данным , 80% сотрудников используют для работы домашние компьютеры. Получается, что многие работники находятся вне досягаемости корпоративных средств защиты и политик безопасности. Это делает их очень уязвимой мишенью.

Мы продолжаем отслеживать активность группы Winnti и не ожидаем, что группа будет снижать свою активность. Через некоторое время мы, возможно, столкнемся с новой атакой, подобной взлому CCleaner и ASUS.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.