Los investigadores han revelado una sofisticada campaña cibernética de Winnti que abusa de los mecanismos de Windows de una manera «raramente vista».
Según Cybereason, el grupo chino de amenazas persistentes avanzadas (APT) Winnti está detrás de la campaña, que ha pasado desapercibida durante años.
Activo desde al menos 2010, Winnti es un grupo de amenazas que opera utilizando una amplia gama de malware y herramientas a su disposición. Se sospecha que la APT, también conocida como APT41, BARIUM o Blackfly, trabaja en nombre del estado chino y se centra en el ciberespionaje y el robo de datos.
Los ataques anteriores relacionados con el grupo incluyen ataques cibernéticos contra desarrolladores de videojuegos, proveedores de software y universidades en Hong Kong. Winnti también aprovechó las fallas de Microsoft Exchange Server ProxyLogon, junto con otras APT, cuando las vulnerabilidades críticas se hicieron públicas por primera vez.
En dos informes publicados el miércoles, Cybereason dijo que la compañía había informado tanto al FBI como al Departamento de Justicia de EE. UU. (DoJ) sobre la campaña de APT, que ha estado activa desde 2019 pero expuesta recientemente.
Según los investigadores de ciberseguridad, los ataques encubiertos se han centrado en infiltrarse en las redes de empresas de tecnología y fabricación en Europa, Asia y América del Norte, centrándose en robar información privada confidencial.
Apodada Operation CuckooBees, la «cadena de infección de múltiples etapas» de Winnti comienza con la explotación de vulnerabilidades en el software de planificación de recursos empresariales (ERP) y la implementación del cargador Spyder. Los investigadores dicen que algunos de los errores explotados eran conocidos, pero otros también eran vulnerabilidades de día cero.
Una vez que se logra el acceso a un sistema empresarial, se elimina un webshell, compuesto por un código simple publicado en sitios web en idioma chino, para mantener la persistencia.
Además, Winnti altera la característica de Windows WinRM sobre HTTP/HTTPS e IKEEXT y los servicios PrintNotify de Windows para crear mecanismos de persistencia de copia de seguridad y descargar archivos DLL de Winnti.
Luego, el grupo realiza un reconocimiento detallado del sistema operativo, la red y los archivos de usuario, antes de intentar descifrar las contraseñas localmente utilizando técnicas y herramientas de volcado de credenciales.
Las tareas remotas programadas se utilizan para intentar moverse lateralmente a través de las redes.
De particular interés es el uso de Stashlog por parte de Winnti, un software malicioso diseñado para abusar del sistema de archivos de registro común (CLFS) de Microsoft Windows.
Stashlog manipula las operaciones Transactional NTFS (TxF) y Transactional Registry (TxR) de CLFS. El ejecutable guarda una carga útil en el archivo de registro de CLFS como parte de la cadena de infección.
«Los atacantes aprovecharon el mecanismo de Windows CLFS y las manipulaciones de transacciones de NTFS, lo que les permitió ocultar sus cargas útiles y evadir la detección de los productos de seguridad tradicionales», dice Cybereason, y agrega que tal abuso de CLFS «rara vez se ve».
Después de las actividades de Stashlog, APT utilizará varias herramientas, incluidas Sparklog, Privatelog y Deploylog. Estas variantes de malware extraen datos del registro de CLFS, aumentan los privilegios, permiten una mayor persistencia e implementarán el controlador de rootkit Winnkit, que actúa como un agente en modo kernel para interceptar las solicitudes de TCP/IP.
Como la investigación sobre la campaña de Winnti está en curso, la empresa de seguridad cibernética solo ha podido compartir indicadores parciales de compromiso (IoC).
«Quizás una de las cosas más interesantes a notar es la cadena de infección elaborada y de múltiples fases que empleó Winnti», dicen los investigadores. «Los autores del malware eligieron dividir la cadena de infección en múltiples fases interdependientes, donde cada fase se basa en la anterior para ejecutarse correctamente.
Esto demuestra el pensamiento y el esfuerzo que se puso tanto en el malware como en las consideraciones de seguridad operativa, lo que hace que sea casi imposible de analizar a menos que todas las piezas del rompecabezas se ensamblen en el orden correcto».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
