Se lanzó un nuevo documento técnico de ESET que describe las actualizaciones del arsenal de malware y las campañas de este grupo conocido por sus ataques a la cadena de suministro
Hoy, ESET Research publica un libro blanco que actualiza nuestra comprensión del Grupo Winnti. En marzo pasado, los investigadores de ESET advirtieron sobre un Nuevo ataque a la cadena de suministro dirigido a desarrolladores de videojuegos en Asia. Después de esa publicación, continuamos esas investigaciones en dos direcciones. Estábamos interesados en encontrar cualquier etapa posterior de malware entregada por ese ataque, y también tratamos de encontrar cómo los desarrolladores y editores objetivo se vieron comprometidos a entregar el malware del Grupo Winnti en sus aplicaciones.
Mientras continuamos con esa investigación del Grupo Winnti, se publicaron informes adicionales sobre sus actividades. Kaspersky publicó detalles sobre el Martillo de las Sombras malware que se encontró en la utilidad Asus Are living Update. Ese informe también mencionó algunas de las técnicas que describimos en detalle en este nuevo documento técnico, como la existencia de un empaquetador VMProtect y una breve descripción del PortReuse puerta trasera. FireEye también publicó un artículo sobre un grupo al que llama APT41. Nuestra investigación confirma algunos de sus hallazgos con respecto a las etapas posteriores en algunos de los ataques de la cadena de suministro, como el uso de hosts comprometidos para minar criptomonedas.
Nuestro documento técnico proporciona un análisis técnico del malware reciente utilizado por el Grupo Winnti. Este análisis refina aún más nuestra comprensión de sus técnicas y nos permite inferir relaciones entre los diferentes incidentes de la cadena de suministro.
Esperamos que el libro blanco y los indicadores de compromiso que publicamos hoy ayuden a las organizaciones seleccionadas a determinar si son víctimas o evitar compromisos futuros.
Una nota sobre nombrar
Hay muchos informes sobre las actividades de este grupo, o quizás de estos grupos. Parece que cada informe da nuevos nombres al grupo y al malware. A veces, esto se debe a que el vínculo con la investigación existente no era lo suficientemente fuerte como para clasificar el malware y las actividades de interés bajo un nombre anterior, o porque los vendedores o grupos de investigación tienen sus propias clasificaciones y nombres y los usaron en sus informes públicos. Para alguien que no analiza realmente las muestras de malware, puede ser difícil confirmar los alias y agregar más confusión.
Hemos elegido mantener el nombre «Grupo Winnti», ya que es el nombre que Kaspersky usó por primera vez para identificarlo en 2013. Entendemos que Winnti también es una familia de malware: es por eso que siempre escribimos Winnti Grupo cuando nos referimos a los malhechores detrás de los ataques. Desde 2013, se demostró que Winnti es solo una de las muchas familias de malware utilizadas por el Grupo Winnti.
Para ser claros, no excluimos la idea de que puede haber múltiples grupos que usan el malware Winnti. Para el alcance de nuestra investigación, nos referimos a ellos como subgrupos potenciales del Grupo Winnti porque no hay evidencia de que estén completamente aislados. Nuestra definición del Grupo Winnti es lo suficientemente amplia como para incluir todos estos subgrupos porque se basa principalmente en el malware y las técnicas que utilizan.
Nuestro libro blanco tiene una sección que describe los nombres que usamos y sus alias.
Vinculación de eventos de la cadena de suministro
Figura 1. Descripción common de los artefactos, técnicas, eventos y sus relaciones utilizados por el Grupo Winnti
Estábamos intrigados por el empaquetador único utilizado en los recientes ataques de la cadena de suministro contra la industria del juego en Asia. Describimos su estructura en nuestro Artículo anterior, y después de la publicación, continuamos la búsqueda para encontrar si se usaba en otro lugar. La respuesta fue positiva. Este empacador se usa en una puerta trasera que los malhechores llaman PortReuse. Después de una investigación adicional, encontramos muestras adicionales de esta puerta trasera con un contexto adicional que confirma que realmente se united states en organizaciones específicas.
Esto nos llevó en el camino para encontrar cómo se implementa en hosts comprometidos. Hemos descubierto un empaquetador protegido por VMP que descifra el código independiente de la posición usando RC5, con una clave basada en una cadena estática y el número de serie del volumen del disco duro de la víctima, y lo ejecuta directamente. Este es exactamente el mismo algoritmo utilizado por el malware de segunda etapa de los juegos comprometidos por el Grupo Winnti en 2018. También hay otras formas en que PortReuse la puerta trasera está oculta, pero este empaquetador protegido por VMP que utiliza la misma técnica de cifrado y generación de claves fortalece los vínculos entre los incidentes.
Hemos visto otra carga útil entregada con el mismo empaquetador protegido por VMP: el ShadowPad malware ShadowPad fue visto por primera vez durante el Incidente de la cadena de suministro de NetSarang, donde su program se incluyó con este malware. Hoy en día, vemos variantes de ShadowPad, sin el módulo del algoritmo de generación de dominio (DGA), en organizaciones a las que se dirige el grupo.
Etapa final del ataque de la cadena de suministro a los jugadores: XMRig
Unas semanas después de la publicación de nuestro artículo de marzo, pudimos adquirir la tercera y última etapa del ataque a la cadena de suministro que describimos. Una vez descifrado, la carga útil era una versión personalizada de XMRig, un minero de criptomonedas de código abierto well-liked. Esto no fue exactamente lo que esperábamos porque el Grupo Winnti es conocido por sus operaciones de espionaje, no por llevar a cabo operaciones que generen ganancias financieras. Quizás este dinero virtual es la forma en que financian su infraestructura (servidores C&C, nombres de dominio, and so on.), pero esto es solo una conjetura.
Una nueva puerta trasera utilizada en organizaciones específicas: PortReuse
Figura 2. Arquitectura de puerta trasera PortReuse
los PortReuse la puerta trasera no usa un servidor C&C espera una conexión entrante que envíe un paquete «mágico». Para hacerlo, no abre un puerto TCP adicional se inyecta en un proceso existente para «reutilizar» un puerto que ya está abierto. Para poder analizar los datos entrantes para buscar el paquete mágico, se utilizan dos técnicas: conexión de la función de recepción (WSARecv o incluso el nivel inferior NtDeviceIoControlFile) o registrar un controlador para un recurso URL específico en un servidor IIS utilizando HttpAddUrl con un URLPrefix.
Hay variantes disponibles para diferentes servicios y puertos. Incluyen DNS (53), HTTP (80), HTTPS (443), RDP (3389) y WinRM (5985).
Gracias a Censys, Los investigadores de ESET pudieron advertir a un importante fabricante asiático de software package y hardware móvil que estaban comprometidos con el PortReuse puerta trasera. Trabajamos con Censys para realizar un escaneo en Online para PortReuse variante que se inyecta en IIS.
Más detalles sobre PortReuseEl funcionamiento interno de ‘se explain en nuestro documento técnico.
Actualización de ShadowPad
Además de lo nuevo PortReuse puerta trasera, el Grupo Winnti actualiza y utiliza activamente su puerta trasera insignia, ShadowPad. Uno de los cambios es la aleatorización de los identificadores del módulo. Las marcas de tiempo que se encuentran en cada módulo de las muestras indican que se compilaron en 2019.
ShadowPad recupera la dirección IP y el protocolo del servidor C&C para usar al analizar el contenido de la Website creado por los atacantes y alojado en recursos populares disponibles públicamente, como repositorios de GitHub, perfiles de Steam, perfiles de Microsoft TechNet o documentos de Google Docs. También tiene un identificador de campaña en su configuración. Ambas técnicas también son utilizadas por la familia de malware Winnti.
Conclusión
Los investigadores de ESET siempre buscan nuevos ataques a la cadena de suministro. No es una tarea fácil: identificar un código pequeño, bien escondido, agregado a una base de código existente a veces enorme, es como encontrar una aguja en un pajar. Sin embargo, podemos confiar en comportamientos y similitudes de código para ayudarnos a detectar la aguja.
Nos sorprendió bastante la etapa last que encontramos en el reciente incidente de la cadena de suministro en los juegos. Este grupo es conocido por su capacidad de espionaje, no por extraer criptomonedas usando su botnet. Quizás usan el dinero virtual que extraen para financiar sus otras operaciones. Tal vez lo usan para alquilar servidores y registrar nombres de dominio. Pero en este punto, no podemos excluir que ellos, o uno de sus subgrupos, puedan estar motivados por ganancias financieras.
Los investigadores de ESET continuarán rastreando a este grupo y proporcionarán detalles adicionales a medida que el equipo los encuentre. Si crees que eres una víctima de este grupo o tienes más preguntas, no dudes en comunicarte con nuestro equipo (a través de hazardintel@eset.com) para obtener detalles adicionales.
Los indicadores de compromiso están disponibles en nuestro papel blanco, así como en nuestro repositorio de malware-ioc en GitHub.
