Çin’in Winnti siber tehdit grubu, yıllardır Kuzey Amerika ve Asya’daki üretim ve teknoloji şirketlerinden devasa fikri mülkiyet depolarını ve diğer hassas verileri sessizce çalıyor.
Bu, grubun siber casusluk kampanyası başladığından beri 30’dan fazla küresel kuruluştan yüzlerce gigabayt veri çaldığını tahmin eden Cybereason araştırmacılarına göre. Planlar, formüller, diyagramlar, tescilli üretim belgeleri ve işle ilgili diğer hassas bilgiler de dahil olmak üzere ticari sırların bunun büyük bir parçası olduğunu söylediler.
Cybereason, raporlarda ayrıca, saldırganların hedef kuruluşun ağ mimarisi, kullanıcı hesapları, kimlik bilgileri, müşteri verileri ve gelecekteki saldırılarda yararlanabilecekleri iş birimleri hakkında ayrıntıları topladıklarını söylüyor. soruşturmasını özetleyen Bu hafta.
Güvenlik sağlayıcısı, bulgularını 2019’da Çin merkezli siber tehdit grupları hakkında uyarıda bulunan FBI ile paylaştığını söyledi. büyük fikri mülkiyet hırsızlığı ABD firmalarından ülkenin “Made in China 2025” modernizasyon girişimini desteklemek için.
Cybereason’ın kıdemli direktörü ve tehdit araştırması başkanı Assaf Dahan, “Küresel üreticiler, Çin devlet destekli tehdit gruplarının hedefidir” diyor. “Araştırmamız, İnternet’e yönelik varlıkları korumanın, tarama etkinliğinin ve istismar girişimlerinin erken tespitinin, web kabuğu etkinliğini, kalıcılığı, meşru Windows araçlarıyla keşif girişimlerini, kimlik bilgilerini boşaltma ve yanal hareket girişimlerini algılamanın önemini vurgulamaktadır.”
CuckooBees tarafından Winnti Stung
Winnti (diğer adıyla APT41, Wicked Panda veya Barium), en az 2010’dan beri aktif olan bir tehdit grubudur. Grubun Çin hükümeti adına veya Çin hükümetinin desteğiyle çalıştığına inanılıyor. Bazı güvenlik sağlayıcıları Winnti’yi Çin devlet istihbarat teşkilatlarının kontrolü altında faaliyet gösteren çok sayıda tehdit aktöründen oluşan bir şemsiye grup olarak tanımladı. Grup, 2010 yılında çok sayıda ABD firmasına (Google ve Yahoo dahil) yönelik saldırılarla bağlantılıydı. Ve 2020’de ABD hükümeti, eylem faaliyetlerini durdurmak için çok az şey yapmasına rağmen, tehdit grubunun beş üyesini suçladı.
Dahan, Cybereason’dan araştırmacıların Asya, Kuzey Amerika ve Avrupa’da faaliyet gösteren 5 milyar dolarlık küresel bir üretim şirketine 2021 yılındaki bir saldırıyı araştırırken tehdit grubunun en son kampanyasına rastladıklarını ve o zamandan beri faaliyet hakkında kanıt topladığını söylüyor.
Dahan, araştırmacıların araştırmayı “CuckooBees Operasyonu” olarak adlandırdıklarını, çünkü guguk arılarının çok kaçınmacı olduğunu ve Winnti grubunun en zor hack gruplarından biri olduğunu açıklıyor.
Dahan, “CuckooBees Operasyonu, Winnti Group’un savunma, havacılık, enerji, biyoteknoloji ve ilaç üreticilerine karşı yürüttüğü küresel casusluk kampanyasına odaklanan 12 aylık bir araştırmaydı” diyor.
Yeni Araçlar, Windows CLFS Mekanizmasının Nadiren Kötüye Kullanımı
Cybereason’ın araştırması ayrıca, yeni kötü amaçlı yazılım araçlarının geliştirilmesi – veya eski kötü amaçlı yazılımın yeni sürümlerinin – ve yük dağıtımı ve kaçınma için gelişmiş yeni teknikler dahil olmak üzere grubun teknik yaklaşımının yeni yönlerini ortaya çıkardı.
Yeni araçlar, tehdit grubunun adaşı Winnti çekirdek düzeyinde kök setini dağıtmak için yapılmış DeployLog adlı bir aracı içeriyor. Geçmişte kullandığı araçların yeni sürümleri, Spyder Loader adlı bir ilk yük içerir; PrivateLog adlı bir ayrıcalık yükseltme aracı; ve yükleri kırılması zor bir Windows işlevinde depolamak için StashLog adlı bir araç.
Cybereason’a göre Winnti grubunun yeni kampanyasının dikkate değer bir yönü, tehdit aktörünün kötü amaçlı yükleri gizlemek için Ortak Günlük Dosya Sistemi (CLFS) adlı Windows yüksek performanslı günlük kaydı özelliğini kullanmasıdır.
Dahan, “CLFS mekanizması oldukça belirsiz ve hala Microsoft tarafından belgelenmemiş” diyor. “Saldırganlar, yüklerini çoğu güvenlik ürününün veya uygulayıcısının aramayacağı bir yerde saklamak için CLFS mekanizmasını kullandı.” Mekanizmayı kötüye kullanma yeteneğinin, tehdit aktörlerinin ellerinde bulunan gelişmişlik düzeyine ve kaynaklara işaret ettiğini de ekliyor.
“Bu mekanizmayı kötü amaçlarla kötüye kullanmak için tersine mühendislik yapmak çok çaba gerektiriyor” diyor.
Dahan, Cybereason’ın yükleri aynı şekilde saklamak için CLFS mekanizmasını kötüye kullanan başka bir tehdit grubu gözlemlemediğini söyledi.
Gelişen Winnti Saldırı Zinciri
En son kampanyasında, Winnti grubu tehdit aktörleri, bir hedef ağ üzerinde ilk tutunma noktası elde etmek için bir vektör olarak savunmasız İnternete bakan sunucuları hedef aldı. Bazı durumlarda, saldırganlar kurumsal kaynak planlama (ERP) platformlarındaki bilinen güvenlik açıklarından yararlanarak sistemlere ilk girişi elde ettiler.
Dahan, “Bildiğimiz kadarıyla, gözlemlenen saldırılarda yararlanılan güvenlik açıkları, satıcı tarafından yayınlanan düzeltmelere sahiptir” diyor.
İçeri girdikten sonra Cybereason, saldırganların kötü niyetli yüklerini dağıtmak için “kartlar evi” olarak tanımladığı bir yaklaşımı benimsediğini ve saldırı zincirinin her bir bileşeninin bir öncekine ve diğer bileşenlerin düzgün çalışması için bağımlı olduğunu gözlemledi. Bu, saldırı zincirindeki her bir kötü amaçlı yazılım bileşenini ayrı ayrı analiz etmeyi zorlaştırdı.
Dahan, “Herhangi bir nedenle, bir bileşen eksikse veya algılanırsa – her şey dağılır” diyor.
Dahan, saldırı zincirindeki bileşenlerin her birinin kendi başına tamamen kötü niyetli olmadığı ve bu nedenle güvenlik ürünleri tarafından kötü niyetli olarak işaretlenme ihtimalinin düşük olduğu için bir başka koruma ve gizlilik katmanı da ekledi. Kötü niyetli olmak için saldırı zincirindeki bileşenlerin belirli bir sıraya göre bir araya getirilmesi gerekir.
“Kartların evi” yaklaşımı, güvenlik araştırmacılarının saldırının yükünü ve akışını analiz etmesini zorlaştırıyor” diye açıklıyor. “Gerçekten tüm saldırıyı görmeli, tüm yükleri toplamalı ve onları tam olarak tasarlandıkları sırayla nasıl çalıştıracağınızı bilmelisiniz.”