Кибератаки Winnti Group: новое зло под кодовым именем RevivalStone

Хакерская группа Winnti Group, исходящая из Китая, ведет свою деятельность с 2010 года, изначально направляя усилия на игровой сектор. Однако в последние годы они расширили свои атаки на организации, занимающиеся обработкой интеллектуальной собственности в различных отраслях. Данная группа проявляет признаки как шпионажа, так и киберпреступности, что связывает ее с подгруппой APT41, имеющей частных подрядчиков, работающих от имени правительства Китая.

Вредоносное ПО Winnti

Winnti Group известна благодаря внедрению вредоносного ПО Winnti, которое обладает уникальной архитектурой руткита, позволяющей осуществлять тайные манипуляции с коммуникациями и использовать действительные цифровые сертификаты. С марта 2024 года группа инициировала новую кампанию, именуемую «RevivalStone», нацеленную преимущественно на японские компании в производственном, материальном и энергетическом секторах.

Структура кампании RevivalStone

Значительным событием данной кампании стало появление новой версии вредоносного ПО под названием Winnti v5.0. Процесс выполнения программы включает в себя многоуровневый подход:

• Перехват легитимных системных файлов с использованием технологий DLL.
• Сложный механизм обфускации, затрудняющий анализ и обнаружение.

Компоненты и механизмы атаки

Пакет вредоносного ПО Winnti включает такие компоненты, как:

• Winnti Loader
• Winnti RAT (троян удаленного доступа)
• Winnti Rootkit

Развертывание начинается с использования службы Windows «SessionEnv», при этом вредоносные библиотеки заменяют безопасные, эффективно запуская вредоносное ПО через специальные записи реестра и зашифрованные полезные данные. RAT взаимодействует с руткитом для манипуляции связью по протоколу TCP/IP, используя поддельный драйвер протокола NDIS, подписи которого осуществляются с помощью сертификата тайваньского производителя с истекшим сроком действия.

Технологии и методы обхода

Ключевые метрики атак включают использование универсальных веб-оболочек, таких как China Chopper и Behinder, для упрощения удаленного выполнения команд и манипулирования файлами. Кампания RevivalStone демонстрирует передовые технологии, позволяющие:

• Зашифрованные файлы данных расшифровываться в памяти с использованием уникальных атрибутов скомпрометированных систем (IP и MAC-адреса).
• Передача команд и получение ответов с помощью механизма magic packet, инициирующего обмен данными через руткит.

Рекомендации для организаций

Несмотря на растущую сложность атак, существуют идентифицируемые следы, такие как:

• Определенные записи в реестре.
• Несанкционированные изменения поведения служб.

Эти следы могут быть использованы для обнаружения угроз. Вероятность будущих атак остается высокой, поскольку Winnti Group продолжает совершенствовать свои инструменты и методы. Организациям рекомендуется:

• Осуществлять тщательный мониторинг.
• Проактивно управлять исправлениями.
• Проводить особый поведенческий анализ для выявления аномалий.

В условиях эволюции хакерских методов бдительность и адаптивные меры безопасности становятся ключевыми факторами для снижения рисков, исходящих от данного настойчивого и адаптирующегося хакера.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.