0
0
O grupo de espionagem cibernética Winnti da China foi descoberto implantando o malware Spyder Loader como parte de uma campanha em andamento para coletar informações de inteligência sobre organizações governamentais em Hong Kong.
Pesquisadores da equipe de caçadores de ameaças da Symantec observaram recentemente atividades maliciosas nas quais os invasores permaneceram ativos em algumas redes direcionadas por mais de um ano para roubar dados críticos no que eles acreditam ser uma extensão da Operação Cuckoobees anteriormente identificada do grupo, disseram eles em um post publicado no blog. essa semana.
“Embora não tenhamos visto a carga útil final nesta campanha, com base na atividade anterior vista ao lado do malware Spyder Loader, parece provável que o objetivo final dessa atividade seja a coleta de inteligência”, escreveram os pesquisadores.
Pesquisadores da Cybereason identificaram pela primeira vez a campanha Cuckoobees em maio como uma campanha massiva de espionagem cibernética contra empresas de manufatura e tecnologia na América do Norte e na Ásia que roubavam imensas reservas de propriedade intelectual e outros dados confidenciais há anos quando foram descobertos.
Naquela época, os pesquisadores estimaram que Winnti – também conhecido como APT41, Wicked Panda e Barium – até agora havia roubado centenas de gigabytes de dados, incluindo segredos comerciais, projetos, fórmulas, diagramas e documentos de fabricação proprietários, de mais de 30 organizações globais. Eles também coletaram detalhes sobre a arquitetura de rede de uma organização-alvo, contas de usuários, credenciais, dados de clientes e unidades de negócios para aproveitar ataques futuros.
A atividade mais recente contra as organizações de Hong Kong parece fazer parte dessa ampla campanha, que provavelmente continuará e atrairá mais vítimas em sua rede de ciberespionagem antes que acabe, disseram os pesquisadores. “O fato de esta campanha estar em andamento há vários anos… indica que os atores por trás dessa atividade são adversários persistentes e focados, com a capacidade de realizar operações furtivas nas redes das vítimas por um longo período de tempo”, escreveram.
Descompactando um Trojan
Durante a atividade, eles observaram que os pesquisadores da Symantec deram uma boa olhada no Spyder Loader, que Winnti já havia sido visto usando como carga útil inicial em atividades maliciosas anteriores.
Pesquisadores da SonicWall foram os primeiros a discutir o malware publicamenteem março de 2021, de acordo com a Symantec, que faz parte da Broadcom Software. Na época, os pesquisadores identificaram o malware sendo usado para ataques direcionados a sistemas de armazenamento de informações para coletar informações sobre dispositivos corrompidos, executar cargas maliciosas, coordenar a execução de scripts e se comunicar com sistemas de comando e controle, disseram eles em seu relatório.
O malware mais tarde foi visto sendo usado na campanha Cuckoobees e agora novamente contra organizações de Hong Kong, com várias variantes sendo implantadas desta vez. Todos eles “exibiam basicamente a mesma funcionalidade” para carregar cargas úteis do próximo estágio e executar funções semelhantes às descritas pela SonicWall, usando ofuscação para ocultar atividades maliciosas, disseram os pesquisadores.
Acredita-se que o Winnti esteja trabalhando em nome ou com o apoio do governo chinês desde pelo menos 2010. Alguns fornecedores de segurança descreveram o Winnti como um grupo abrangente composto por vários atores de ameaças operando sob o controle das agências de inteligência estatais da China.
Além de Cuckoobees, Winnti também foi associado a ataques em 2010 a dezenas de empresas americanas que incluíam pesos pesados como Google e Yahoo. Sua atividade acabou levando o governo dos EUA a indiciar cinco membros do grupo de ameaças, que no final pouco fez para impedir suas atividades maliciosas.
Detalhes técnicos
Os pesquisadores da Symantec analisaram uma amostra do Spyder Loader compilada como uma DLL PE de 64 bits, uma cópia modificada do sqlite3.dll com a adição de uma exportação maliciosa, sqlite3_prepare_v4, que espera uma string como terceiro argumento, disseram eles.
“Alegadamente, sempre que uma exportação é executada por rundll32.exe, o terceiro argumento da exportação chamada deve conter parte da linha de comando do processo”, explicaram os pesquisadores. “Quando este carregador é executado, ele extrai o nome do arquivo de seu terceiro argumento, e espera-se que o arquivo referido contenha uma sequência de registros.”
O malware executa um arquivo wlbsctrl.dll criado que provavelmente atua como um carregador de próximo estágio que executa o conteúdo de um registro blob_id 2 armazenado anteriormente — que ele criptografa usando o algoritmo AES no modo Ciphertext Feedback (CFB) com segment_size de 0x80 bits — do FileMapping criado, explicaram os pesquisadores. A chave de criptografia é baseada no nome de um computador afetado pela API GetComputerNameW(), disseram eles.
O Spyder Loader também usou outras técnicas de ofuscação para impedir que sua atividade fosse analisada, disseram os pesquisadores. Além da criptografia AES, a amostra de malware também usou a criptografia do algoritmo ChaCha20 para ofuscar uma das strings, além de limpar artefatos criados substituindo o conteúdo do arquivo wlbsctrl.dll descartado antes de excluí-lo, por exemplo, disseram eles.
Existem várias semelhanças entre a atividade do Spyder Loader vista na campanha de Hong Kong e sua funcionalidade original, conforme descrito pela Cybereason. Eles incluem: uso de uma versão modificada do sqlite3.dll; uso do terceiro parâmetro de sua exportação maliciosa que é consistente com o exemplo de linha de comando rundll32.exe visto na pesquisa da Cybereason; e uso da biblioteca CryptoPP C++.
Além do Spyder Loader, o ladrão de credenciais Mimikatz e uma DLL ZLib com Trojan estavam entre os malwares carregados nas máquinas das vítimas, disseram os pesquisadores.
Os pesquisadores incluíram em seu relatório uma lista de indicadores de comprometimento do Spyder Loader no post para que as empresas possam detectar se seus sistemas foram infectados. Eles também incentivaram as organizações a se manterem atualizadas sobre as ameaças e malwares mais recentes em circulação que podem exigir atualizações de segurança, consultando a página Boletins de proteção da Symantec .
FONTE: DARK READING