Cybereason’dan araştırmacılar, en az üç yıldır aktif olan ve yeni kötü amaçlı yazılım türleri, belirli Windows özelliklerinin nadiren kötüye kullanımı ve “karmaşık bir enfeksiyon zinciri” içeren yeni bir casusluk kampanyasını ortaya çıkardı.
Şirketin raporuna göre, Winnti (aka APT 41, BARIUM veya Blackfly) olarak bilinen Çin devlet destekli bir aktör, en azından 2019’dan beri Kuzey Amerika, Avrupa ve Asya’da çok sayıda teknoloji ve üretim şirketini hedefliyor.
Amaç, mağdurlar tarafından geliştirilen fikri mülkiyet, hassas belgeler, planlar, diyagramlar, formüller ve üretimle ilgili özel veriler gibi hassas verileri belirlemek ve sızdırmaktı. Araştırmacılar, saldırganların yüzlerce gigabaytlık değerli istihbarat çaldığına inanıyor.
Nadiren görülen istismar
Bu veriler aynı zamanda saldırganların kurbanlarının ağlarını, organizasyon yapılarını ve uç noktaları haritasını çıkarmasına yardımcı oldu ve işleri daha da büyütmeye karar vermeleri durumunda (örneğin fidye yazılımı ile) onlara avantajlı bir başlangıç sağladı.
Winnti gelişmiş kalıcı tehdit aktörü, kampanyasında zaten bilinen kötü amaçlı yazılımların (Spyder Loader, PRIVATELOG ve WINNKIT) yeni sürümlerini dağıttı, ancak aynı zamanda daha önce bilinmeyen kötü amaçlı yazılım – DEPLOYLOG’u da dağıttı.
Araştırmacılar, kötü amaçlı yazılımı dağıtmak için grubun Windows CLFS Özelliğinin “nadiren görülen” bir kötüye kullanımını tercih ettiğini söyledi. Görünüşe göre grup, Windows CLFS (Ortak Günlük Dosya Sistemi) mekanizmasından ve NTFS işlem manipülasyonlarından yararlanarak, yükleri gizlemesine ve güvenlik ürünleri tarafından algılanmaktan kaçınmasına izin verdi.
Yük dağıtımının kendisi, bir kart evini andıran “karmaşık ve birbirine bağlı” olarak tanımlandı. Sonuç olarak, araştırmacıların her bir bileşeni ayrı ayrı analiz etmeleri çok zordu.
Yine de, bulmacayı bir araya getirmeyi başardılar ve Winnti kötü amaçlı yazılım cephaneliğinin Spyder (sofistike bir modüler arka kapı), STASHLOG (Windows CLFS’de yükleri “saklayan” ilk dağıtım aracı), SPARKLOG (PRIVATELOG’u ayıklar ve dağıtır) içerdiğini iddia ediyorlar. ayrıcalıklar ve hedef uç noktada kalıcılık elde etme), PRIVATELOG (DEPLOYLOG’u ayıklar ve dağıtır) ve DEPLOYLOG (WINNKIT kök setini dağıtır). Son olarak, Winnti çekirdek düzeyi kök seti olan WINNKIT var.