Higaisa oder Winnti? Wie wir Backdoor-Besitz definiert haben

Bei der Überwachung von Bedrohungen der Informationssicherheit im Mai 2020 entdeckten Experten von Positive Technologies mehrere neue Beispiele für schädliche Software (Malware). Auf den ersten Blick hätten sie der Higaisa-Gruppe zugeordnet werden sollen, aber eine detaillierte Analyse ergab, dass sie der Winnti-Gruppe zugeordnet werden sollten (laut FireEye auch als APT41 bekannt). 

Eine detaillierte Überwachung ergab auch viele andere Fälle von Malware der APT41-Gruppe, einschließlich Hintertüren, Tropfer, Lader und Injektoren. Wir konnten auch Beispiele einer zuvor unbekannten Hintertür (wir nannten sie FunnySwitch) mit atypischen Peer-to-Peer-Messaging-Funktionen finden. Einen detaillierten Bericht finden Sie hier . In diesem Artikel erfahren Sie, wie unsere Forschung begann.

Einführung

Der erste Angriff, der die Aufmerksamkeit von Experten auf sich zog, war vom 12. Mai 2020.

Die darin verwendete schädliche Datei ist ein Archiv mit dem Namen Project link und New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Das Archiv enthält ein Täuschungsdokument im PDF-Format (Zeplin Copyright Policy.pdf) sowie einen Ordner. Alle Projekte von tort - Web-Links mit zwei Verknüpfungen:

• Conversations - iOS - Swipe Icons - Zeplin.lnk,

  
  
  
  
  

• Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.

  
  
  
  
  

20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.

― , LNK- Base64 CAB-, . JS-.

, , 3t54dE3r.tmp.

30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :

• Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,

  
  
  
  
  

• International English Language Testing System certificate.pdf.lnk.

  
  
  
  
  

12 . PDF-, IELTS.

Malwarebytes Zscaler. , Higaisa.

, , , Crosswalk. 2017 FireEye APT41 (Winnti).

APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .

, LNK- Winnti (APT41), Higaisa .

Crosswalk

Crosswalk , . , 20 , .

:

• (uptime);

  
  
  
  
  

• IP- ;

  
  
  
  
  

• MAC- ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• PID ;

  
  
  
  
  

• .

  
  
  
  
  

32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.

Crosswalk VMWare CarbonBlack.

Crosswalk , Crosswalk . ― . VMProtect.

, SeDebugPrivilege, PID . explorer.exe winlogon.exe.

:

• Crosswalk,

  
  
  
  
  

• Metasploit stager,

  
  
  
  
  

• FunnySwitch ( ).

  
  
  
  
  

― . : , .

, LNK-.

Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.

, .

, Positive Technologies. Winnti.