Pesquisadores divulgaram uma sofisticada campanha cibernética Winnti que abusa dos mecanismos do Windows de uma maneira ‘raramente vista’.
De acordo com a Cybereason, o grupo chinês de ameaças persistentes avançadas (APT) Winnti está por trás da campanha, que não é detectada há anos.
Ativo desde pelo menos 2010, Winnti é um grupo de ameaças que opera usando uma vasta gama de malware e ferramentas à sua disposição. O APT, também conhecido como APT41, BARIUM ou Blackfly, é suspeito de trabalhar em nome do estado chinês e se concentra em ciberespionagem e roubo de dados.
Os ataques anteriores relacionados ao grupo incluem ataques cibernéticos contra desenvolvedores de videogames, fornecedores de software e universidades em Hong Kong. Winnti também capitalizou no Microsoft Exchange Server Falhas do ProxyLogonjuntamente com outros APTs, quando as vulnerabilidades críticas foram divulgadas pela primeira vez.
Em dois relatórios publicados na quarta-feiraa Cybereason disse que a empresa informou o FBI e o Departamento de Justiça dos EUA (DoJ) sobre a campanha da APT, que está ativa desde 2019, mas exposta apenas recentemente.
De acordo com os pesquisadores de segurança cibernética, os ataques secretos se concentraram em se infiltrar nas redes de empresas de tecnologia e manufatura na Europa, Ásia e América do Norte, com foco no roubo de informações proprietárias confidenciais.
Apelidada de Operação CuckooBees, a “cadeia de infecção em vários estágios” do Winnti começa com a exploração de vulnerabilidades no software de planejamento de recursos empresariais (ERP) e na implantação do carregador Spyder. Os pesquisadores dizem que alguns dos bugs explorados eram conhecidos, mas outros também eram vulnerabilidades de dia zero.
Uma vez que o acesso a um sistema corporativo é alcançado, um webshell, composto por um código simples publicado em sites no idioma chinês, é descartado para manter a persistência.
Além disso, o Winnti altera o recurso do Windows WinRM sobre HTTP/HTTPS e os serviços IKEEXT e PrintNotify do Windows, para criar mecanismos de persistência de backup e carregar DLLs do Winnti.
O grupo então realiza um reconhecimento detalhado no sistema operacional, na rede e nos arquivos do usuário, antes de tentar quebrar as senhas localmente usando técnicas e ferramentas de despejo de credenciais.
As tarefas agendadas remotas são usadas para tentar mover-se lateralmente pelas redes.
De particular interesse é o uso do Stashlog pelo Winnti, software malicioso projetado para abusar do Microsoft Windows Common Log File System (CLFS).
O Stashlog manipula as operações Transactional NTFS (TxF) e Transactional Registry (TxR) do CLFS. O executável armazena uma carga útil no arquivo de log do CLFS como parte da cadeia de infecção.
“Os invasores aproveitaram o mecanismo Windows CLFS e as manipulações de transações NTFS, o que lhes permitiu ocultar suas cargas úteis e evitar a detecção por produtos de segurança tradicionais”, diz a Cybereason, acrescentando que esse abuso do CLFS é “raramente visto”.
Após as atividades do Stashlog, o APT usará várias ferramentas, incluindo Sparklog, Privatelog e Deploylog. Essas variantes de malware extraem dados do log CLFS, aumentam privilégios, permitem maior persistência e implantarão o driver de rootkit Winnkit – que atua como um agente de modo kernel para interceptar solicitações TCP/IP.
Como a investigação sobre a campanha de Winnti está em andamento, a empresa de segurança cibernética só conseguiu compartilhar indicadores parciais de comprometimento (IoCs).
“Talvez uma das coisas mais interessantes a se notar seja a elaborada e multifaseada cadeia de infecção que Winnti empregou”, dizem os pesquisadores. “Os autores do malware optaram por dividir a cadeia de infecção em várias fases interdependentes, onde cada fase depende da anterior para ser executada corretamente.
Isso demonstra o pensamento e o esforço que foram colocados tanto no malware quanto nas considerações de segurança operacional, tornando quase impossível analisar a menos que todas as peças do quebra-cabeça sejam montadas na ordem correta.”
Cobertura anterior e relacionada
Tem uma dica? Entre em contato com segurança via WhatsApp | Sinal em +447713 025 499, ou em Keybase: charlie0
source – www.zdnet.com
