‘APT41’ veya ‘Wicked Spider’ olarak da bilinen Çinli Winnti hack grubu, geçen yıl en az 80 kuruluşu hedef aldı ve en az on üç ağı başarıyla ihlal etti.
Bu, Wintti’nin faaliyetlerini takip eden ve 2021’i Çinli bilgisayar korsanları için en “yoğun” yıllardan biri olarak tanımlayan Group-IB araştırmacılarına göre.
Araştırmacılar, Wintti’nin ABD’de konaklama ve yazılım geliştirme firmalarını, Hindistan’da bir havacılık firmasını, Tayvan’da hükümet, üretim ve medya kuruluşlarını ve hatta Çin’deki yazılım satıcılarını hedef aldığını söylüyor.
Kampanyalarını kolaylaştırmak için Winnti ayrıca İngiltere, İrlanda ve Hong Kong’daki üniversite web sitelerini, Tayland askeri portallarını ve Hindistan hükümetine ait çeşitli siteleri tehlikeye attı.
Bu kampanyaların bir parçası olarak Winnti, kötü niyetli operasyonlarında kimlik avı, sulama delikleri, tedarik zinciri saldırıları ve çok sayıda SQL enjeksiyonu gibi çeşitli yöntemler kullandı.
Hedeflenen ağlardaki güvenlik açıklarını bulmak veya bunların içinde yanlamasına yayılmak için, tehdit aktörleri Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r ve “saygıdeğer” Cobalt Strike gibi emtia ve özel yazılımların bir karışımını kullandılar.
Kobalt Strike işaretlerini gizleme
Wintti’nin Cobalt Strike işaretleri için benzersiz dağıtım yöntemlerinden biri, yazılım tarafından algılanmaktan kaçınmak için ana bilgisayardaki yükün gizlenmesini içeriyordu.
Göre Grup-IB raporubilgisayar korsanları yükü base64’te kodlar ve 775 karakterden oluşan çok sayıda küçük parçaya böler ve daha sonra aşağıda gösterildiği gibi dns.txt adlı bir metin dosyasına yansıtılır.
Bazı durumlarda, yükü bir dosyaya yazmak için bu eylemin 154 tekrarı gerekti, ancak diğerlerinde Winnti, yinelemeleri azaltmak için yığın boyutunu 1.024 karaktere çıkardı.
Yürütülebilir Cobalt Strike dosyasını yeniden oluşturmak ve başlatmak için tehdit aktörleri, aşağıda belirtildiği gibi Certutil LOLBin’i kullanır:
certutil -decode C:\dns.txt C:\dns.exe
certutil -hashfile C:\dns.exe
copy C:\dns.exe C:\WINDOWS\dns.exe
move C:\dns.exe C:\windows\mciwave.exe
Winnti’nin Cobalt Strike dağıtımına ilişkin bir başka benzersiz yaklaşım, Microsoft, Facebook ve Cloudflare’ı taklit eden 106’dan fazla özel SSL sertifikasına sahip dinleyiciler kullanmaktır.
Bu sertifikalar, C2 sunucularındaki dinleyicilerin yalnızca yerleşik beacon’lardan gelen bağlantıları kabul etmesini, meraklı araştırmacıları veya meraklı bilgisayar korsanlarını dışarıda tutmasını sağlar.
Çalışma saatleri
Tehdit grubunun etkinliğini bu kadar uzun süre takip eden Group-IB, bilgisayar korsanlarının belirli bir programı takip etme eğiliminde olan çalışma saatlerine göre yaklaşık konumunu tahmin edebilecek bir konumdadır.
Grup, UTC+8 saat diliminde sabah 09:00’da çalışmaya başlar ve öğleden sonra 19:00 civarında sona erer.
Bu, hack grubunu Malezya, Singapur, Rusya, Avustralya ve Çin’deki hedeflere karşı gerçek zamanlı operasyonlar için iyi bir konuma getiriyor.
Özellikle, Winnti hafta sonları çok az saat oturum açtı, ancak Pazar günleri muhtemelen yeterli sayıda personele sahip olmayan BT ekipleri tarafından fark edilmeyecek eylemleri gerçekleştirmek için bazı faaliyetler gözlemlendi.
Gölgelerde gizlenen
Araştırmacılar Winnti operasyonlarını ısrarla takip etseler bile, sofistike Çinli grup iyi saklanıyor ve siber casusluk operasyonlarını engellenmeden sürdürüyor.
Bununla birlikte, Group-IB’nin raporu, bilgisayar korsanlığı grubunun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) özetleyerek ve Winnti’nin anlaşılması zor olmayı başardığını doğrulayarak boşlukları doldurmaya yardımcı olur.
Ocak 2022’de Kaspersky’deki araştırmacılar, gelişmiş bir teknoloji olan ‘MoonBounce’ı keşfettiler. UEFI ürün yazılımı implantı Vahşi doğada Winnti tarafından yüksek profilli kuruluşlara karşı konuşlandırıldı.
Mart 2022’de Mandiant şunları bildirdi: Winnti hükümet ağlarını ihlal etti altı ABD eyaletinde Cisco ve Citrix açıklarından yararlanıyor.
Mayıs 2022’de Cybereason tarafından hazırlanan bir rapor, devam etmekte olan daha önce bilinmeyen bir operasyonun haritasını çıkardıktan sonra Winnti’nin cephaneliği ve TTP’leri (teknikler, taktikler ve prosedürler) hakkında çok şey ortaya çıkardı. en az 2019’dan beri.