Clever Geek Handbook

Higaisa ou Winnti? Como definimos a propriedade da porta traseira





Ao monitorar as ameaças à segurança da informação em maio de 2020, os especialistas da Positive Technologies descobriram várias novas amostras de malware (malware). À primeira vista, deveriam ter sido atribuídos ao grupo Higaisa, mas uma análise detalhada mostrou que deveriam ser associados ao grupo Winnti (também conhecido como APT41, de acordo com a FireEye). 





O monitoramento detalhado revelou muitas outras instâncias do malware do grupo APT41, incluindo backdoors, droppers, loaders e injetores. Também encontramos amostras de uma porta dos fundos desconhecida anteriormente (chamamos de FunnySwitch) com funcionalidade de mensagens ponto a ponto atípica. Um relatório detalhado pode ser encontrado aqui , e neste artigo contaremos como nossa pesquisa começou.





Introdução

O primeiro ataque que atraiu a atenção de especialistas foi datado de 12 de maio de 2020.





O arquivo malicioso usado nele é um arquivo denominado link do projeto e New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). O arquivo contém um documento falso em formato PDF (Zeplin Copyright Policy.pdf), bem como uma pasta Todos os projetos ilícitos - Web lnks com dois atalhos:





  • Conversations - iOS - Swipe Icons - Zeplin.lnk,





  • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.





20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.





― , LNK- Base64 CAB-, . JS-.





Conteúdo do script 34fDFkfSD32.js
34fDFkfSD32.js

, , 3t54dE3r.tmp.





30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :





  • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,





  • International English Language Testing System certificate.pdf.lnk.





12 . PDF-, IELTS.





Malwarebytes Zscaler. , Higaisa.





, , , Crosswalk. 2017 FireEye APT41 (Winnti).





Fragmento do relatório FireEye
FireEye
Fragmento de código Shell 3t54dE3r.tmp
3t54dE3r.tmp

APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .





, LNK- Winnti (APT41), Higaisa .





Fragmento de infraestrutura de rede

Crosswalk

Crosswalk , . , 20 , .





:





  • (uptime);





  • IP- ;





  • MAC- ;





  • ;





  • ;





  • ;





  • ;





  • PID ;





  • .





32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.





Crosswalk VMWare CarbonBlack.





Crosswalk , Crosswalk . ― . VMProtect.





Código de injeção Shellcode em um processo em execução

, SeDebugPrivilege, PID . explorer.exe winlogon.exe.





:





  • Crosswalk,





  • Metasploit stager,





  • FunnySwitch ( ).





― . : , .





, LNK-.





Código de função principal do bootloader

Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.





, .





, Positive Technologies. Winnti. 







More articles:


All Articles