Ερευνητές της Symantec έχουν αποκαλύψει νέες κυβερνοεπιθέσεις που αποδίδονται στον συνδεδεμένο με την Κίνα κατασκοπευτικό παράγοντα APT41 (γνωστό και ως Winnti). Ο απειλητικός παράγοντας APT41 παραβίασε κυβερνητικούς οργανισμούς στο Χονγκ Κονγκ και παρέμεινε σε ορισμένες περιπτώσεις απαρατήρητος για ένα χρόνο.
Δείτε επίσης: Εξαρθρώθηκε εγκληματική ομάδα που χάκαρε αυτοκίνητα χωρίς κλειδί
Δείτε επίσης: Medibank: Η αυστραλιανή ασφαλιστική εταιρεία επιβεβαιώνει επίθεση ransomware
Η ομάδα APT41 (Winnti) χρησιμοποιεί το προσαρμοσμένο malware που ονομάζεται Spyder Loader, το οποίο είχε αποδοθεί στο παρελθόν στην ομάδα.
Τον Μάιο του 2022, ερευνητές της Cybereason ανακάλυψαν το ‘Operation CuckooBees’, το οποίο βρισκόταν σε εξέλιξη από το 2019 εστιάζοντας σε εταιρείες υψηλής τεχνολογίας και κατασκευής στη Βόρεια Αμερική, την Ανατολική Ασία και τη Δυτική Ευρώπη.
Η έκθεση της Symantec σημειώνει ότι υπάρχουν ενδείξεις ότι η δραστηριότητα που ανακαλύφθηκε πρόσφατα στο Χονγκ Κονγκ αποτελεί μέρος της ίδιας επιχείρησης και οι στόχοι της Winnti είναι κυβερνητικές οντότητες στην ειδική διοικητική περιοχή.
Spyder Loader
Στο Operation CuckooBees, η ομάδα Winnti χρησιμοποίησε μια νέα έκδοση του backdoor Spyder Loader. Η αναφορά της Symantec δείχνει ότι οι χάκερ συνεχίζουν να εξελίσσουν το κακόβουλο λογισμικό, αναπτύσσοντας διάφορες παραλλαγές στους στόχους, όλες με τις ίδιες λειτουργίες.
Μερικές από τις ομοιότητες που εντόπισε η Symantec σε σύγκριση με την έκδοση που αναλύθηκε από την Cybereason περιλαμβάνουν:
- χρήση της βιβλιοθήκης CryptoPP C++
- κατάχρηση του rundll32.exe για την εκτέλεση του malware loader
- compile ως ένα τροποποιημένο αντίγραφο DLL 64-bit του SQLite3 DLL για τη διαχείριση βάσεων δεδομένων SQLite, sqlite3.dll, με κακόβουλο export (sqlite3_extension_init)
Το Spyder Loader που χρησιμοποιείται στο αρχικό στάδιο μόλυνσης φορτώνει blobs κρυπτογραφημένα με AES που δημιουργούν το payload επόμενου σταδίου, “wlbsctrl.dll”.
Δραστηριότητα και στόχοι
Οι αναλυτές της Symantec παρατήρησαν και το deployment του εργαλείου εξαγωγής κωδικών πρόσβασης Mimikatz στις τελευταίες καμπάνιες, επιτρέποντας στον απειλητικό παράγοντα να εισχωρήσει βαθύτερα στο δίκτυο των θυμάτων.
Επιπλέον, οι ερευνητές είδαν «ένα trojanized ZLib DLL που είχε πολλαπλά κακόβουλα exports, το ένα από τα οποία φαινόταν να περιμένει επικοινωνία από έναν command-and-control server, ενώ το άλλο θα φόρτωνε ένα payload από το παρεχόμενο όνομα αρχείου στη γραμμή εντολών.»
Δείτε επίσης: Malware dev ισχυρίζεται ότι πουλά το νέο bootkit BlackLotus Windows UEFI
Αν και η Symantec δεν μπόρεσε να ανακτήσει το τελικό payload, φαίνεται ότι ο στόχος στην τελευταία καμπάνια της APT41 ήταν να συλλέξει πληροφορίες από βασικές οντότητες στο Χονγκ Κονγκ.
Η Symantec αναμένει από τη Winnti να συνεχίσει να εξελίσσει την εργαλειοθήκη κακόβουλου λογισμικού της και να εισάγει νέα payload, καθώς και να προσθέτει περισσότερα επίπεδα obfuscation όπου είναι δυνατόν.
Πηγή πληροφοριών: bleepingcomputer.com
...){kind=link}