Clever Geek Handbook

¿Higaisa o Winnti? Cómo definimos la propiedad de puerta trasera





Mientras monitoreaban las amenazas a la seguridad de la información en mayo de 2020, los expertos de Positive Technologies descubrieron varias muestras nuevas de malware (malware). A primera vista, deberían haber sido atribuidos al grupo Higaisa, pero un análisis detallado mostró que deberían estar asociados con el grupo Winnti (también conocido como APT41, según FireEye). 





El monitoreo detallado también reveló muchas otras instancias del malware del grupo APT41, incluidas puertas traseras, goteros, cargadores e inyectores. También pudimos encontrar muestras de una puerta trasera previamente desconocida (la llamamos FunnySwitch) con una funcionalidad de mensajería de igual a igual atípica. Puede encontrar un informe detallado aquí , y en este artículo le contaremos cómo comenzó nuestra investigación.





Introducción

El primer ataque que llamó la atención de los expertos fue el 12 de mayo de 2020.





El archivo malicioso que se utiliza en él es un archivo denominado Enlace del proyecto y New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). El archivo contiene un documento señuelo en formato PDF (Zeplin Copyright Policy.pdf), así como una carpeta Todos los proyectos de agravios: enlaces web con dos atajos:





  • Conversations - iOS - Swipe Icons - Zeplin.lnk,





  • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.





20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.





― , LNK- Base64 CAB-, . JS-.





Contenido de la secuencia de comandos 34fDFkfSD32.js
34fDFkfSD32.js

, , 3t54dE3r.tmp.





30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :





  • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,





  • International English Language Testing System certificate.pdf.lnk.





12 . PDF-, IELTS.





Malwarebytes Zscaler. , Higaisa.





, , , Crosswalk. 2017 FireEye APT41 (Winnti).





Fragmento del informe FireEye
FireEye
Fragmento de código de shell 3t54dE3r.tmp
3t54dE3r.tmp

APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .





, LNK- Winnti (APT41), Higaisa .





Fragmento de infraestructura de red

Crosswalk

Crosswalk , . , 20 , .





:





  • (uptime);





  • IP- ;





  • MAC- ;





  • ;





  • ;





  • ;





  • ;





  • PID ;





  • .





32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.





Crosswalk VMWare CarbonBlack.





Crosswalk , Crosswalk . ― . VMProtect.





Código de inyección de shellcode en un proceso en ejecución

, SeDebugPrivilege, PID . explorer.exe winlogon.exe.





:





  • Crosswalk,





  • Metasploit stager,





  • FunnySwitch ( ).





― . : , .





, LNK-.





Código de función principal del cargador de arranque

Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.





, .





, Positive Technologies. Winnti. 







More articles:


All Articles