2020年5月のサイバーセキュリティの脅威の監視中に、Positive Technologiesの専門家は、マルウェア(マルウェア)のいくつかの新しいサンプルを発見しました。一見、Higaisaグループに起因するはずでしたが、詳細な分析により、Winntiグループ(FireEyeによるとAPT41としても知られています)に関連している必要があることが示されました。
詳細な監視により、バックドア、ドロッパー、ローダー、インジェクターなど、APT41グループマルウェアの他の多くのインスタンスが明らかになりました。また、非定型のピアツーピアメッセージング機能を備えた、これまで知られていなかったバックドア(FunnySwitchと呼びます)のサンプルを見つけることもできました。詳細なレポートはここにあります。この記事では、私たちの研究がどのように始まったかについて説明します。
前書き
専門家の注目を集めた最初の攻撃は、2020年5月12日付けでした。
その中で使用されている悪意のあるファイルは、Project link and New copyright policy.rar(c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04)という名前のアーカイブです。アーカイブには、PDF形式のおとり文書(Zeplin Copyright Policy.pdf)と、すべてのtortのプロジェクト(2つのショートカットを持つWebリンク)フォルダーが含まれています。
Conversations - iOS - Swipe Icons - Zeplin.lnk,
Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.
20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.
― , LNK- Base64 CAB-, . JS-.
, , 3t54dE3r.tmp.
30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :
Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,
International English Language Testing System certificate.pdf.lnk.
12 . PDF-, IELTS.
Malwarebytes Zscaler. , Higaisa.
, , , Crosswalk. 2017 FireEye APT41 (Winnti).
APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .
, LNK- Winnti (APT41), Higaisa .
Crosswalk
Crosswalk , . , 20 , .
:
(uptime);
IP- ;
MAC- ;
;
;
;
;
PID ;
.
32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.
Crosswalk , Crosswalk . ― . VMProtect.
, SeDebugPrivilege, PID . explorer.exe winlogon.exe.
:
Crosswalk,
Metasploit stager,
FunnySwitch ( ).
― . : , .
, LNK-.
Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.
, .
, Positive Technologies. Winnti.