Отчеты о целевых атаках (APT)

Winnti приходит с PlugX

Продолжая тему Winnti, мы расскажем о том, как и чем эта группа попыталась повторно заразить некую игровую компанию. После того как обнаружилось, что серверы этой компании заражены вредоносным ПО, мы, вместе с системным администратором этой компании, занялись ликвидацией заражения, очищая корпоративную сеть от вредоносных файлов. Это заняло какое-то время, потому как сначала не было понятно, каким образом злоумышленники проникли в компанию, полностью закрыть для них доступ не получалось, и вредоносные файлы все появлялись и появлялись. Результаты анализа, проведенного самой игровой компанией, навели на мысль, что заражение началось после установления рабочих контактов с одной южнокорейской игровой компанией. Это подтвердили и наши исследования: как мы уже писали, группа Winnti работает наиболее активно в восточноазиатском регионе, и как раз в Южной Корее мы зафиксировали 14 зараженных игровых компаний.

В ходе мероприятий по ликвидации заражения игровая компания высылала нам подозрительные файлы, появляющиеся на их компьютерах. Многие из них являлись вредоносными программами Winnti. Как только информация о вредоносных файлах добавлялась в антивирусные базы, в корпоративной сети игровой компании с помощью наших продуктов проходила ликвидация зловредов Winnti. Но злоумышленники действовали очень быстро: казалось бы, только вчера на компьютерах компании были задетектированы и удалены вредоносные программы, а сегодня уже новые образцы зловредов появлялись мистическим образом там же, где накануне только избавились от заражения. Но в итоге наши усилия принесли плоды, и злоумышленникам был перекрыт доступ к компьютерам игровой компании.

Но, как мы и ожидали, радоваться было рано. Ровно через месяц после очищения сети игровой компании, группа Winnti проявилась вновь. Системный администратор прислал нам подозрительные файлы, которые пришли в письмах к их сотрудникам. Это был банальный spearphishing. Злоумышленники представлялись некими разработчиками компьютерных игр и, якобы, искали сотрудничества с крупными издательствами.

Письма были написаны небрежно, с ошибками, что выдавало, что люди, их писавшие, явно не слишком хорошо владеют английским языком. Особенно забавно это было видеть в письме, присланном якобы от имени развивающейся игровой компании из Лос-Анжелеса, США. В письмах были вложения — архивы Rar. Сами архивы содержали исполняемые файлы, расширения которых были спрятаны известной техникой переворачивания текста с использованием специального символа 0x202e. В итоге исполняемые файлы vmw.scr и gpj.com выглядели в проводнике как rcs.wmv и moc.jpg, как будто бы это были видеофайл и jpeg- изображение.

В файловом менеджере Far названия файлов отображаются как есть, и в начале имен файлов виден спецсимвол 0x202e, отображаемый как знак вопроса.

По замыслу злоумышленников, получивший такое письмо сотрудник компании должен был распаковать архивы, увидеть формат картинки или видео и, ничего не опасаясь, открыть соответствующие файлы. В итоге это привело бы к запуску исполняемых файлов и заражению.

Исполняемые файлы оказались вредоносными. И к нашему удивлению, это оказалось уже известное семейство PlugX. Было странно увидеть семейство вредоносных программ, которое до этого было замечено в атаках на политических активистов и государственные организации, задействованным в атаках на игровые компании. В ходе проверки мы не обнаружили никаких данных, указывающих на то, чтобы PlugX использовали несколько разных групп злоумышленников. Естественно, возникает вопрос: неужели группа Winnti стоит за атаками и на игровые компании и, например, за атаками на тибетских активистов?! Учитывая необходимый объем работ по одним только игровым компаниям, задаешься вопросом: как же в таком случае они всё успевают? Впоследствии, исследуя семейство PlugX, мы довольно долгое время не находили никакой связи между самплами PlugX, распространяемыми группой Winnti, и самплами PlugX, используемыми в атаках на цели другого типа, нежели игровые компании. Однако позднее все-таки вскрылось, что группа Winnti если и не стоит за атаками с использованием PlugX на неигровые компании, то уж точно связана с другой группой (или группами), которые вовлечены в такие атаки.

Проанализировав тематику писем и учитывая недавнее заражение компании, мы пришли к выводу, что имеет место целевая атака и группа Winnti повторно решила проникнуть в сеть компании. Системные администраторы перешли на боевой режим несения службы, чтобы не пропустить вредоносное ПО. И атаки посыпались градом. Здесь как раз и стала проявляться сущность группы Winnti: она не утруждала себя сложными атаками в самом начале; лишь по мере неудач, вследствие противодействия со стороны компании, шаг за шагом усложняла подход, каждый раз пытаясь обойтись меньшими трудозатратами. После первых атак злоумышленники стали рассылать архивы 7z, lzh и tbz, содержащие в свою очередь самораспаковывающиеся архивы Rar и 7zip с начинкой PlugX, под именами:
Company Profile.7z, содержащий самораспаковывающийся Rar-архив 2013plan.exe с файлом 11.EXE, который в свою очередь содержал CAB-архив с компонентами PlugX. Помимо этого, в ресурсах 11.EXE был обнаружен непродолжительный фрагмент порнографического видео;
MyPhotos.7z, содержащий фотографии и myphotosmyphotos.exe;
Resume.7z, содержащий Resume.exe;
Documents.7z, содержащий My Documents.exe;
Programm.7z, содержащий Programm.exe;
_____.lzh, содержащий Desktop.exe;
Desktops.7z, содержащий файл FreeWord.doc и самораспаковывающийся Rar-архив Documents.exe. FreeWord.doc на самом деле не был документом MS Word, а являлся таким jpeg-изображением:

21. Dezember 2012.tbz, содержащий документ 21. Dezember 2012.doc и Dezember.exe
Game Creative Board.pdf.7z, содержащий документы Game Creative Board.pdf, Game Creative Board 1.pdf, Game Creative Board 2.pdf, которые на самом деле были документами MS Word и файл Game Creative Board.exe;
Work.7z, содержащий My work.exe и Work.exe;
My work.rar, содержащий My doc.exe и My ppt.exe;

В связи с интенсивностью атак системные администраторы пошли на крайнюю меру и вообще запретили вложения в письмах на корпоративные почтовые ящики. Атакующие отреагировали на это весьма прямолинейно: они послали письма сотрудникам компании, в которых честно признались, что их вложения не доходят до адресатов, и просили самих адресатов пройти по ссылке, представленной в письме, скачать архив и открыть его. Архив с вредоносной начинкой располагался на взломанном сайте www.linfairrecords.com. Но это была разовая акция, и больше писем такого типа не приходило — атакующие сменили тактику.

Впервые с момента начала кампании по повторному заражению злоумышленники решили-таки напрячь себя и придумать что-либо неординарное. Они послали письма на личные ящики сотрудников компании от имени якобы других сотрудников компании. Чтобы письма выглядели более убедительно, в них добавили фотографии тех сотрудников, от имени которых посылались письма. Вложения, естественно, содержали всё тот же PlugX. Но сотрудники были оповещены о продолжающихся атаках на компанию, и этот трюк также не прошел незамеченным. Заметим, что игровая компания, подвергшаяся атакам, располагается не в англоязычной стране, соответственно, сотрудники не являются носителями английского языка. И в данных обстоятельствах было бы странно, если бы сотрудники посылали друг другу письма на английском. Атакующие это понимали, и письма были написаны на родном для адресатов языке. Первые варианты писем были составлены безграмотно, явно выдавая, что писавший не является носителем языка. Впоследствии, впрочем, злоумышленники улучшили текст, и он уже выглядел более или менее сносно.

Такие атаки продолжались регулярно в течение почти трех месяцев. Несмотря на то что большинство этих spearphishing атак не были чересчур сложными и убедительными (подготовленный человек заподозрил бы неладное при получение таких писем), когда мы имеем дело с большими числами (а компания насчитывает большое количество сотрудников), происходят даже события с малой вероятностью: один сотрудник в компании все-таки не углядел в письме подвоха и запустил вредоносную программу, содержащуюся в нем. Но все программы, присылаемые в письмах, оперативно нами обрабатывались, анализировались и находились под нашим наблюдением. Соответственно, мы знали центры управления рассылаемых вредоносных программ. И когда с зараженного компьютера сотрудника установленный бэкдор стал соединяться с сервером управления, системные администраторы компании засекли это действие, и зараженный компьютер был в кратчайшие сроки локализован и изолирован от корпоративной сети.

В итоге атаки злоумышленников сошли на нет. С одной стороны, это вроде бы неплохая новость, но с другой — они прекратили атаки письмами, но прекратили ли они попытки проникнуть в сеть компании вообще? Ведь вполне возможно, что они стали думать над более надежным вектором заражения. И если с письмами все было понятно, то теперь надо иметь в виду, что атакующие могут применить новые методы, и откуда ждать атак — неизвестно, а значит, надо очень внимательно следить за всем.

Тут следует прояснить ситуацию: действительно ли вторая волна атак, с попытками заражения сети PlugX-ом, опять была организована группой Winnti? Ведь не исключена вероятность того, что какая-то другая команда, отличная от Winnti, положила глаз на игровую компанию, с которой мы работали. На этот счет у нас есть аргументы, которые позволяют последнее предположение поставить под сомнение.

1. Интервал между атаками: злоумышленники стали рассылать электронные письма с начинкой PlugX ровно через месяц после того, как им перекрыли доступ к корпоративной сети. То же произошло и с другой игровой компанией: почти ровно через месяц после избавления от вредоносных программ Winnti на компьютерах компании вновь было обнаружено заражение. Возникло такое ощущение, что когда обнаруживается присутствие команды Winnti в какой-то компании, а затем происходит очистка корпоративной сети от вредоносного ПО, Winnti оставляет цель на месяц.

2. Злоумышленники рассылали письма с PlugX на личные почтовые ящики сотрудников компании якобы от лица их коллег. Письма содержали фотографии коллег, от которых якобы было прислано письмо. Информацию о личных почтовых ящиках, а также фотографии, злоумышленники могли собрать на стадии первичного присутствия группы Winnti на рабочих станциях компании.

3. Мы обнаружили самплы PlugX, которые были подписаны сертификатами, украденными у двух разных игровых компаний: MGAME и ESTsoft, обе из Южной Кореи и обе связаны с индустрией компьютерных игр.

4. Компания ESTsoft, помимо прочего, является издателем и разработчиком MMORPG ‘CABAL Online’. Нам в лабораторию регулярно приходят нотификации KSN об обнаружении самплов Winnti в дистрибутивах игры ‘CABAL’. Названия некоторых региональных издателей игры ‘CABAL Online’ (партнеры ESTsoft) встречаются в тегах обнаруженных нами зловердов Winnti, описывающих жертву.

5. Мы обнаружили следующие ‘живые’ домены третьего уровня в зонах центров управления Winnti:
est.gasoft.us
est.gcgame.info
est.zzsoft.info
Ранее мы писали, что команда Winnti неоднократно создавала домены центров управления третьего уровня таким образом, что название поддомена соотносилось с именем зараженной компании, и значит, вышеобозначенные домены вполне могут быть созданы для управления зараженными компьютерами в компании ESTsoft.

6. В ходе исследования семейства PlugX в одном из самплов были определены следующие центры управления:
bot.jgame.in
bot.dongevil.info
udp.jjevil.com

Название домена jgame.in явно перекликается с игровой тематикой. А многие домены Winnti зарегистрированы с email-адресом evilsex@gmail.com. Домены dongevil.info и jjevil.com, возможно, зарегистрированы тем же лицом — которому так нравится использовать слово ‘evil’.

7. Был обнаружен сампл вредоносной программы, в котором были зашиты следующие центры управления:
bot.xiaotian123.com
kr.jjevil.com
jj.nexon-nss.com

Отсюда ясно, что домен jjevil.com связан с nexon-nss.com. Но нам известны центры управления Winnti:
nexoncorp.us
nexongame.net
nexononline.com

NEXON Corporation — игровая компания, и мы уже писали, что группа Winnti любит давать имена доменам своих центров управления, созвучные с именами доменов, на которых расположены сайты игровых компаний. Помимо прочего, название компании NEXON было обнаружено в тегах, обозначающих жертву, в нескольких самплах Winnti.

8. Зоны, в которых располагаются центры управления PlugX
dongevil.info
jjevil.com

зарегистрированы с email-адресом huise123@yahoo.com. С этим же адресом зарегистрирован такой домен, как
ibmsupport.net
Но имеется центр управления Winnti
ibm-support.net
зарегистрированный на email-адрес whoismydns@gmail.com. Есть некоторое сходство:
ibmsupport.net ibm-support.net
huise123@yahoo.com whoismydns@gmail.com (по тематике whois)

9. И буквально на днях, когда эта статья уже готовилась к публикации, мы обнаружили сампл PlugX, в котором были зашиты центры управления
tank.hja63.com
tho.pad62.com

а в этих зонах располагаются домены, с которыми связывались бэкдоры группы Winnti, найденные на компьютерах одной игровой компании:
tank.hja63.com (полное совпадение с центром управления PlugX)
soft.hja63.com
ru.pad62.com
Оба домена — hja63.com и pad62.com — зарегистрированы с одним и тем же email-адресом — huisengaunr@sina.com.

Представим все эти связи в наглядном виде:

Эти данные позволяют нам с большой долей уверенности считать, что именно группа Winnti атаковала игровую компанию письмами с PlugX, это они пытались вернуться через месяц после того, как им перекрыли доступ к компьютерам компании. И судя по дате компиляции основного функционального компонента сампла PlugX, в котором указаны домены в зонах, общих для PlugX и Winnti — 21 мая 2012 года, группа Winnti пользовалась средством удаленного администрирования PlugX как минимум с мая 2012 года. Среди всех вредоносных программ PlugX, что мы обнаружили, на начало мая 2012 года, приходятся и даты компиляции самых ранних самплов PlugX, распространяемые, по нашему мнению, членами группировки Winnti. До конца еще не ясно, одна ли это организация, в которую входят команды, занимающиеся заражением игровых компаний, которые мы называем ‘группа Winnti’, и злоумышленники, которые работают по политическим и государственным целям с использованием PlugX, но мы полагаем, что между ними есть связь. Возможно, просто какие-то члены группы работают и там, и здесь; может быть, кто-то поработал в одной группе, потом перешел в другую, перенося с собой багаж предыдущих наработок — это тоже может служить объяснением пересечений.

Как мы уже указывали в полном отчете о Winnti, разыскивая следы, оставленные одним из участников этой группы в Интернете, мы наткнулись на объявление о предложении работы на китайском хакерском форуме. Примерный перевод этого объявления:

Тема: Требуются специалисты по информационной безопасности
От: Southland sword
Дата: 2012-04-06 00:38
Тема: Работа специалистом по безопасности
Обязанности:
1. Полное проникновение в заданную цель, как в одиночку, так и при работе в команде, в зависимости от имеющихся ресурсов;
2. Отчет о тестирование на проникновение и рекомендации;
Технические требования:
1. Знания в области тестирования на проникновение, методов, процессов, опыт работы с рядом программ для тестирования на проникновение;
2. Знание основных языков веб-программирования (asp, php, jsp), опыт SQL-инъекций, XSS, основных веб-эксплойтов и патчей;
3. Знания всех видов операционных систем и баз данных в области основных уязвимостей;
4. Способность грамотно изъясняться и писать;
5. Способность работать в команде; личности, которые теряют доверие, не слушают руководителя команды и нарушают правила, будут выгнаны;
Место работы: Гуандун (или Гуанчжоу Шеньжень)
Baochibaozhu пакет, относительно свободное игровое время.
Зарплата: ежемесячно по результатам работы и общая часть более 1W.
Число вакансий: 5
Кандидатам: сначала обращаться ко мне (желательно с резюме), после просмотра мной, резюме будет направлено к главному координатору для назначения собеседования.
Зарплата: бесплатное питание и проживание; офис в особняке, 200 кв. м., компьютеры имеются, но, пожалуйста, лучше берите с собой жесткий диск с окружением и инструментами, с которыми вы привыкли работать. Даже один выполненный проект компенсирует вам все затраты.
Влиятельная поддержка. Без комментариев!
Компетентные специалисты, пожалуйста, обращайтесь:
Email: Infosec@cntv.cn QQ: admin@inessus.com

И член группы Winnti, завсегдатай этого форума, отреагировал на это объявление таким образом:
‘Вы случайно набираете народ не для APT? Правда, Гуандун слишком далеко, но в любом случае я поддерживаю это’.

Также некоторые участники форума пообсуждали упомянутую ‘Влиятельную поддержку’ и заподозрили, что за этими словами кроется работа на правительство.

Очевидно, что криминальный бизнес целевых атак цветет в Китае буйным цветом. Абсолютно понятно, что в такой ситуации различные группировки могут обрастать связями между собой, кооперироваться, обмениваться данными и инструментами, члены групп, рядовые наемные рабочие, могут мигрировать из одной группы или организации в другую. Ситуация, надо признать, удручающая, и, судя по всему, нужна политическая воля и вмешательство правоохранительных органов, чтобы изменить ее в лучшую сторону.

Winnti приходит с PlugX

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике