I ricercatori di Cybereason hanno scoperto una nuova campagna spyware che è attiva da almeno tre anni e include nuovi ceppi di malware, abusi raramente osservati di alcune funzionalità di Windows e una "catena di infezione complessa".
Secondo il rapporto della società, un attore cinese sponsorizzato dallo stato noto come Winnti (noto anche come APT 41, BARIUM o Blackfly) ha preso di mira numerose aziende tecnologiche e manifatturiere in Nord America, Europa e Asia almeno per il 2019. .
L'obiettivo era identificare ed esfiltrare dati sensibili, come proprietà intellettuale sviluppata dalle vittime, documenti sensibili, progetti, diagrammi, formule e dati proprietari relativi alla produzione. Gli investigatori ritengono che gli aggressori abbiano rubato centinaia di gigabyte di informazioni preziose.
abuso raramente visto
Questi dati hanno anche aiutato gli aggressori a mappare le reti, la struttura organizzativa e gli endpoint delle loro vittime, offrendo loro un vantaggio se dovessero decidere di peggiorare le cose (ad esempio, con il ransomware).
Nella sua campagna, Winnti ha implementato nuove versioni di malware già noto (Spyder Loader, PRIVATELOG e WINNKIT), ma ha anche implementato malware precedentemente sconosciuto: DEPLOYLOG.
Per distribuire il malware, il gruppo ha optato per un abuso "raramente visto" della funzionalità CLFS di Windows, hanno affermato i ricercatori. Il gruppo apparentemente ha sfruttato il meccanismo CLFS (Common Log File System) di Windows e le manipolazioni delle transazioni NTFS, consentendogli di nascondere i payload ed evitare il rilevamento da parte dei prodotti di sicurezza.
La stessa consegna del carico utile è stata descritta come "complessa e interdipendente", simile a un castello di carte. Pertanto, è stato molto difficile per i ricercatori analizzare ogni componente separatamente.
Tuttavia, sono riusciti a mettere insieme il puzzle e affermare che l'arsenale di malware di Winnti include Spyder (una sofisticata backdoor modulare), STASHLOG (lo strumento di distribuzione iniziale che "nasconde" i payload in Windows CLFS), SPARKLOG (estrae e distribuisce PRIVATELOG per aumentare i privilegi e ottenere la persistenza sull'endpoint di destinazione), PRIVATELOG (estrae e distribuisce DEPLOYLOG) e DEPLOYLO.G (distribuisce il rootkit WINNKIT). Infine, c'è WINNKIT, il rootkit a livello di kernel di Winnti.