Higaisa или Winnti? Как мы определяли принадлежность бэкдоров

    В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye). 

    Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскажем о том, с чего началось наше исследование.

    Введение

    Первая из привлекших внимание экспертов атак была датирована 12 мая 2020.

    Использованный в ней вредоносный файл представляет собой архив с именем Project link and New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Архив содержит документ-приманку в формате PDF (Zeplin Copyright Policy.pdf), а также папку All tort's projects - Web lnks с двумя ярлыками:

    • Conversations - iOS - Swipe Icons - Zeplin.lnk,

    • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.

    Структура вредоносных ярлыков похожа на образец 20200308-sitrep-48-covid-19.pdf.lnk, который распространялся группой Higaisa в марте 2020.

    Механизм начального заражения принципиально не изменился ― при попытке открыть любой из ярлыков выполняется команда, которая извлекает из тела LNK-файла закодированный с помощью Base64 CAB-архив, который затем распаковывается во временную папку. Дальнейшие действия выполняются с помощью извлеченного JS-скрипта.

    Содержимое скрипта 34fDFkfSD32.js
    Содержимое скрипта 34fDFkfSD32.js

    В качестве основной полезной нагрузки, устанавливаемой скриптом, выступает шеллкод с именем 3t54dE3r.tmp.

    30 мая 2020 был выявлен новый вредоносный объект — архив CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) с двумя ярлыками:

    • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,

    • International English Language Testing System certificate.pdf.lnk.

    Их структура полностью повторяла образцы от 12 мая. В качестве приманки в данном случае использовались PDF-документы, содержащие резюме и сертификат IELTS.

    Данные атаки были подробно изучены нашими коллегами из Malwarebytes и Zscaler. Основываясь на схожести цепочек заражения, исследователи относят их к группе Higaisa.

    Однако детальный анализ шеллкода, который использовался в качестве полезной нагрузки, показал, что его образцы принадлежат к семейству ВПО Crosswalk. Это вредоносное ПО появилось не позднее 2017 года и было впервые упомянуто в отчете FireEye о деятельности группы APT41 (Winnti).

    Фрагмент отчета FireEye
    Фрагмент отчета FireEye
    Фрагмент шеллкода 3t54dE3r.tmp
    Фрагмент шеллкода 3t54dE3r.tmp

    Исследование сетевой инфраструктуры образцов также позволяет найти пересечения с ранее известной инфраструктурой APT41: на IP-адресе одного из C2-серверов обнаруживается SSL-сертификат с SHA-1 b8cff709950cfa86665363d9553532db9922265c, который также встречается на IP-адресе 67.229.97[.]229, упомянутом в отчете CrowdStrike за 2018 год. Дальнейшее изучение позволяет выйти на некоторые домены из отчета Kaspersky от 2013 года.

    Все это приводит нас к выводу, что данные атаки на основе LNK-файлов проводились группой Winnti (APT41), которая позаимствовала у Higaisa технику использования ярлыков.

    Фрагмент сетевой инфраструктуры
    Фрагмент сетевой инфраструктуры

    Бэкдор Crosswalk

    Crosswalk представляет собой модульный бэкдор, реализованный в виде шеллкода. Его основной компонент отвечает за установку соединения с управляющим сервером, сбор и отправку информации о системе и имеет функциональность для установки и исполнения до 20 дополнительных модулей, принимаемых с сервера в виде шеллкода.

    Собираемая информация включает в себя:

    • время работы ОС (uptime);

    • IP-адреса сетевых адаптеров;

    • MAC-адрес одного из адаптеров;

    • версию и разрядность операционной системы;

    • имя пользователя;

    • имя компьютера;

    • имя исполняемого модуля;

    • PID процесса;

    • версию и разрядность шеллкода.

    Шеллкод имеет как 32-, так и 64-разрядные модификации. Его версии кодируются двумя числами, среди обнаруженных нами — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.

    Более детальный анализ одной из версий Crosswalk изложен в исследовании VMWare CarbonBlack.

    Загрузчики и инжекторы

    Исследование сетевой инфраструктуры и мониторинг новых образцов Crosswalk привели нас к выявлению других вредоносных объектов, содержащих в себе шеллкод Crosswalk в качестве основной нагрузки. Все эти объекты можно условно разделить на две группы ― загрузчики локального шеллкода и его инжекторы. В обоих группах часть образцов дополнительно обфусцирована с помощью VMProtect.

    Код внедрения шеллкода в запущенный процесс
    Код внедрения шеллкода в запущенный процесс

    Инжекторы содержат в себе типичный код, который получает право SeDebugPrivilege, находит PID требуемого процесса и внедряет в него шеллкод. В качестве целевых процессов в разных экземплярах выступают explorer.exe и winlogon.exe.

    Обнаруженные нами экземпляры содержат один из трех вариантов полезной нагрузки:

    • Crosswalk,

    • Metasploit stager,

    • FunnySwitch (подробнее об этом бэкдоре в полной версии статьи).

    Основная функция образцов из группы загрузчиков локального шеллкода ― извлечение и исполнение шеллкода в текущем процессе. Среди них можно выделить две подгруппы в зависимости от источника шеллкода: он может находиться как в исходном исполняемом файле, так и во внешнем файле в той же директории.

    Работа большинства загрузчиков начинается с проверки текущего года, напоминающей поведение образцов из атак с LNK-файлами.

    Код главной функции загрузчика
    Код главной функции загрузчика

    Заключение

    Группа Winnti имеет в своем арсенале широкий инструментарий вредоносного ПО, которое активно использует в своих атаках. Группа применяет как массовые инструменты, такие как Metasploit, Cobalt Strike, PlugX, так и собственные разработки, список которых постоянно пополняется. В частности, не позднее мая 2020 года группа начала использовать свой новый бэкдор ― FunnySwitch.

    Отличительной особенностью бэкдоров группы является поддержка нескольких транспортных протоколов для соединения с командным сервером, что позволяет затруднить обнаружение вредоносного трафика.

    В полном отчете представлен более подробный анализ образцов ВПО, обнаруженных экспертами Positive Technologies. Также в документе описаны примеры атак и техник группировки Winnti. 

    Positive Technologies
    Компания

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое