中国 Winnti 黑客组织,也称为“APT41”或“Wicked Spider”,去年攻击了至少 80 个组织,并成功入侵了至少 13 个组织的网络。
根据 Group-IB 的研究人员的说法,他们一直在关注 Wintti 的活动,并将 2021 年描述为中国黑客最“激烈”的年份之一。
研究人员表示,Wintti 的目标是美国的酒店和软件开发公司、印度的一家航空公司、台湾的政府、制造和媒体实体,甚至中国的软件供应商。
2021 年被 Winnti 破坏的组织 (Group-IB)
为了促进他们的活动,Winnti 还入侵了英国、爱尔兰和香港的大学网站、泰国军事门户网站以及属于印度政府的各种网站。
2021 年 Winnti 运营中使用的受损基础设施 (Group-IB)
作为这些活动的一部分,Winnti 在其恶意操作中使用了各种方法,包括网络钓鱼、水坑、供应链攻击和大量 SQL 注入。
为了发现目标网络中的漏洞或在其中横向传播,威胁参与者使用了商品和专用软件的混合物,例如 Acunetix、Nmap、SQLmap、OneForAll、subdomain3、subDomainsBrute、Sublist3r 和“古老的”Cobalt Strike。
隐藏他们的 Cobalt Strike 信标
Wintti 独特的 Cobalt Strike 信标部署方法之一涉及混淆主机上的有效负载以逃避软件检测。
根据 Group-IB 报告,黑客使用 base64 对有效负载进行编码,并将其分解为由 775 个字符组成的大量小片段,然后将其回显到名为 dns.txt 的文本文件中,如下所示。
将 Cobalt Strike 信标分解为 Base64 编码的小块
在某些情况下,此操作需要重复 154 次才能将有效负载写入文件,但在其他情况下,Winnti 将块大小增加到 1,024 个字符以减少迭代次数。
要重建 Cobalt Strike 可执行文件并启动它,威胁参与者将使用 Certutil LOLBin,如下所述:
certutil -decode C:\dns.txt C:\dns.exe
certutil -hashfile C:\dns.exe
copy C:\dns.exe C:\WINDOWS\dns.exe
move C:\dns.exe C:\windows\mciwave.exe
Winnti 部署 Cobalt Strike 的另一种独特方法是使用具有超过 106 个自定义 SSL 证书的侦听器,模仿 Microsoft、Facebook 和 Cloudflare。
这些证书确保 C2 服务器上的侦听器仅接受来自已植入信标的连接,从而将窥探研究人员或好奇的黑客锁定在外面。
工作时间
长期以来一直跟踪威胁组织的活动,Group-IB 能够根据黑客的工作时间来估计他们的大致位置,这些时间往往遵循规定的时间表。
该小组在 UTC+8 时区的早上 09:00 AM 开始工作,并在下午 07:00 PM 左右结束。
Winnti 的工作时间和大概位置 (Group-IB)
这使黑客组织能够对马来西亚、新加坡、俄罗斯、澳大利亚和中国的目标进行实时操作。
值得注意的是,Winnti 在周末记录的时间很少,尽管在周日观察到一些活动,可能是为了执行人员不足的 IT 团队不太可能注意到的操作。
潜伏在阴影中
即使研究人员持续跟踪 Winnti 的行动,这个老练的中国组织仍然隐藏得很好,并且继续其网络间谍活动不受阻碍。
然而,Group-IB 的报告有助于填补空白,概述了黑客组织的策略、技术和程序 (TTP),并确认 Winnti 设法保持难以捉摸。
2022 年 1 月,卡巴斯基的研究人员发现了“MoonBounce”,这是一种由 Winnti 在野外针对知名组织部署的高级UEFI 固件植入程序。
2022 年 3 月,Mandiant 报告说, Winnti 使用 Cisco 和 Citrix 漏洞攻击了美国六个州的政府网络。
2022 年 5 月,Cybereason 的一份报告在绘制了至少自 2019 年以来一直在进行的以前未知的操作后,发现了很多有关 Winnti 的武器库和 TTP(技术、战术和程序)的信息。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Winnti黑客将Cobalt Strike 拆分为154块以逃避检测
