Эксперты Positive Technologies выявили новую атаку китайской хак-группы Winnti (она же Suckfly, APT41, Wicked Panda, Barium и так далее), а также изучили ее новый инструментарий и инфраструктуру. По данным компании, сейчас заражены несколько десятков ПК по всему миру (более 50), включая Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию и так далее. То есть карта часовых поясов атакованных устройств совпадает с традиционной географией интересов хакеров.
Некоторые скомпрометированные организации аналитикам удалось идентифицировать, и все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT. Среди них, в числе прочих, оказались пять разработчиков ПО для финансовых организаций из Германии и России. Судя по всему, в ряде случаев речь шла об атаках на цепочку поставок (supplychain) на ранних этапах. В частности, атакованные производители специфического ПО, являющиеся доверенным поставщиком ПО для целого ряда компаний, с большой долей вероятности могут быть использованы как плацдарм для дальнейшего развития атаки.
Сетевая инфраструктура группы на начальном этапе анализа
Сообщается, что новая инфраструктура группы стремительно разрастается: было выявлено более 150 IP-адресов управляющих серверов и не менее 147 доменов, связанных с этими адресами. Так, около половины серверов группировки находятся в Гонконге. IP-адреса распределены по 45 уникальным провайдерам, при этом более половины серверов сконцентрированы на IP-адресах шести провайдеров, пять из которых находятся в Азии — в Гонконге, Китае, Южной Корее.
Геолокация управляющих серверов
Во время исследования инфраструктуры хакеров специалисты Positive Technologies наблюдали, как злоумышленники многократно переводили домены с одного IP-адреса на другой. Компания объясняет, что это свидетельствует об активной фазе атаки.
При этом во время исследования эксперты обнаружили пересечения новой инфраструктуры Winnti с инфраструктурой других хак-групп, что может свидетельствовать о причастности Winnti к другим атакам. В частности был найден бэкдор ShadowPad, который используется Winnti, а во время изучения его инфраструктуры были замечены связанные домены, ранее использовавшиеся при атаках на организации в России, Белоруссии, Южной Корее и Японии. Ранее считалось, что эти атаки проводили группы ТА459 и Tontoteam и Nettraveller, но, возможно, это не так.
По словам экспертов, в последнем случае не исключен факт переиспользования инфраструктуры группировки Nettraveller для маскировки активности (своего рода аренда инфраструктуры). Однако область атак, их географическая и отраслевая привязка в значительной мере пересекаются с областью интересов Winnti, поэтому можно предположить, что за всеми этими атаками на самом деле стоит одна и та же преступная группа, а атрибуция ранее была неверна.
Winnti известна ИБ-экспертам с 2012 года. Ключевые интересы группы ― шпионаж и получение финансовой выгоды. За все время активности этой группировки ее жертвами становились компании авиационно-космической промышленности, энергетики, фармацевтической, финансовой и телекоммуникационной отраслей и даже игровой индустрии.
Основной арсенал хакеров составляет малварь собственной разработки, а во время кампаний Winnti использует сложные методы атак, в числе которых атаки на цепочку поставок и watering hole.
Некоторые скомпрометированные организации аналитикам удалось идентифицировать, и все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT. Среди них, в числе прочих, оказались пять разработчиков ПО для финансовых организаций из Германии и России. Судя по всему, в ряде случаев речь шла об атаках на цепочку поставок (supplychain) на ранних этапах. В частности, атакованные производители специфического ПО, являющиеся доверенным поставщиком ПО для целого ряда компаний, с большой долей вероятности могут быть использованы как плацдарм для дальнейшего развития атаки.
Кроме того, в рамках исследования специалисты выявили бэкдор xDll, неизвестный ранее, а также ряд других образцов малвари, как уже известной, так и новой (SkinnyD, Python-бэкдор).
Сетевая инфраструктура группы на начальном этапе анализаСообщается, что новая инфраструктура группы стремительно разрастается: было выявлено более 150 IP-адресов управляющих серверов и не менее 147 доменов, связанных с этими адресами. Так, около половины серверов группировки находятся в Гонконге. IP-адреса распределены по 45 уникальным провайдерам, при этом более половины серверов сконцентрированы на IP-адресах шести провайдеров, пять из которых находятся в Азии — в Гонконге, Китае, Южной Корее.
Геолокация управляющих серверовВо время исследования инфраструктуры хакеров специалисты Positive Technologies наблюдали, как злоумышленники многократно переводили домены с одного IP-адреса на другой. Компания объясняет, что это свидетельствует об активной фазе атаки.
При этом во время исследования эксперты обнаружили пересечения новой инфраструктуры Winnti с инфраструктурой других хак-групп, что может свидетельствовать о причастности Winnti к другим атакам. В частности был найден бэкдор ShadowPad, который используется Winnti, а во время изучения его инфраструктуры были замечены связанные домены, ранее использовавшиеся при атаках на организации в России, Белоруссии, Южной Корее и Японии. Ранее считалось, что эти атаки проводили группы ТА459 и Tontoteam и Nettraveller, но, возможно, это не так.
По словам экспертов, в последнем случае не исключен факт переиспользования инфраструктуры группировки Nettraveller для маскировки активности (своего рода аренда инфраструктуры). Однако область атак, их географическая и отраслевая привязка в значительной мере пересекаются с областью интересов Winnti, поэтому можно предположить, что за всеми этими атаками на самом деле стоит одна и та же преступная группа, а атрибуция ранее была неверна.
Winnti известна ИБ-экспертам с 2012 года. Ключевые интересы группы ― шпионаж и получение финансовой выгоды. За все время активности этой группировки ее жертвами становились компании авиационно-космической промышленности, энергетики, фармацевтической, финансовой и телекоммуникационной отраслей и даже игровой индустрии.
Основной арсенал хакеров составляет малварь собственной разработки, а во время кампаний Winnti использует сложные методы атак, в числе которых атаки на цепочку поставок и watering hole.