El actor de amenaza vinculado a China conocido como Winnti se ha atribuido a una nueva campaña doblada Piedra revival Eso dirigió a las empresas japonesas en los sectores de fabricación, materiales y energía en marzo de 2024.
La actividad, detallado Por la compañía japonesa de ciberseguridad LAC, se superpone a un grupo de amenazas rastreado por Trend Micro como Earth Freybug, que se ha evaluado como un subconjunto dentro del Grupo de Espionaje Cibernética APT41, por Cyber y bajo el nombre de la Operación Cuckoobees, y por Symantec como Blackfly.
APT41 ha sido descrito como un actor altamente calificado y metódico con la capacidad de montar ataques de espionaje, así como envenenar la cadena de suministro. Sus campañas a menudo están diseñadas con sigilo en mente, aprovechando un conjunto de tácticas para lograr sus objetivos mediante el uso de un conjunto de herramientas personalizado que no solo evita el software de seguridad instalado en el entorno, sino que también recolecta información crítica y establece canales encubiertos para un acceso remoto persistente.
“Las actividades de espionaje del grupo, muchas de las cuales están alineadas con los objetivos estratégicos de la nación, se han dirigido a una amplia gama de sectores de la industria pública y privada en todo el mundo”, dijo Lac.
“Los ataques de este grupo de amenazas se caracterizan por el uso de malware Winnti, que tiene un RootKit único que permite la ocultación y manipulación de las comunicaciones, así como el uso de certificados digitales legítimos y robados en el malware”.
Winnti, activo desde al menos 2012, ha señalado principalmente organizaciones de fabricación y materiales en Asia a partir de 2022, con campañas recientes Entre noviembre de 2023 y octubre de 2024, dirigido a la región de Asia-Pacífico (APAC) que explota debilidades en aplicaciones de orientación pública como IBM Lotus Domino para implementar malware de la siguiente manera-
- Deathlotus – Una puerta trasera CGI pasiva que admite la creación de archivos y la ejecución de comandos
- Desapimen – Una utilidad de evasión de defensa escrita en C ++
- PrivateLog – Un cargador que se usa para soltar Winnti Rat (también conocido como implementLog) que, a su vez, ofrece un RootKit de nivel de núcleo llamado Winnkit por medio de un instalador RootKit
- Cunningpigeon – Una puerta trasera que utiliza la API de Microsoft Graph para obtener comandos – administración de archivos y procesos, y proxy personalizado – de mensajes de correo
- Mamero de viento – Un RootKit con capacidades para interceptar la interfaz de red TCPIP, así como crear canales encubiertos con puntos finales infectados dentro de Intranet
- Sombra – Un puerto de escucha de puerta trasera pasiva desde el servidor web de IIS
Se ha encontrado que la última cadena de ataque documentada por LAC explota una vulnerabilidad de inyección de SQL en un sistema de planificación de recursos empresariales (ERP) no especificado para eliminar los proyectiles web como China Chopper y detrás (también conocido como Bingxia e IceScorpion) en el servidor comprometido, utilizando el acceso al acceso Para realizar el reconocimiento, recopilar credenciales para el movimiento lateral y entregar una versión mejorada del malware Winnti.
Se dice que el alcance de la intrusión se expandió aún más para violar un proveedor de servicios administrado (MSP) aprovechando una cuenta compartida, seguido de armarse la infraestructura de la compañía para propagar el malware a otras tres organizaciones.
Lac dijo que también encontró referencias a Treadstone y Stonv5 en la campaña de Revivalstone, y el primero es un controlador diseñado para trabajar con el malware Winnti y que también se incluyó en el I-soon (también conocido como ansun) fuga de el año pasado en conexión con un panel de control de malware de Linux.
“Si Treadstone tiene el mismo significado que el malware Winnti, solo es especulación, pero Stonev5 también podría significar la versión 5, y es posible que el malware utilizado en este ataque sea Winnti v5.0”, dijeron los investigadores Takuma Matsumoto y Yoshihiro Ishikawa .
“El nuevo malware Winnti se ha implementado con características como la ofuscación, los algoritmos de cifrado actualizados y la evasión de los productos de seguridad, y es probable que este grupo de atacantes continúe actualizando las funciones del malware Winnti y lo use en ataques”.
La divulgación se produce como Fortinet Fortiguard Labs detallado Un conjunto de ataque basado en Linux denominado SSHDinjector que está equipado para secuestrar el demonio SSH en los dispositivos de red inyectando malware en el proceso de acceso persistente y acciones encubiertas desde noviembre de 2024.
El suite de malware, asociado con otro grupo chino de piratería de estado-estado conocido como Daggerfly (también conocido como Bronze Highland y Evasive Panda), está diseñado para la exfiltración de datos, escuchando las instrucciones entrantes desde un servidor remoto para enumerar procesos y servicios en ejecución, realizar operaciones de archivos, Iniciar terminal y ejecutar comandos de terminal.
About the Author
