Clever Geek Handbook

Higaisa ou Winnti? Comment nous avons défini la propriété de porte dérobée





Lors de la surveillance des menaces Ă  la sĂ©curitĂ© des informations en mai 2020, les experts de Positive Technologies ont dĂ©couvert plusieurs nouveaux Ă©chantillons de logiciels malveillants (malware). Ă€ première vue, ils auraient dĂ» ĂŞtre attribuĂ©s au groupe Higaisa, mais une analyse dĂ©taillĂ©e a montrĂ© qu'ils devraient ĂŞtre associĂ©s au groupe Winnti (Ă©galement connu sous le nom d'APT41, selon FireEye). 





Une surveillance détaillée a également révélé de nombreuses autres instances du malware du groupe APT41, notamment des portes dérobées, des compte-gouttes, des chargeurs et des injecteurs. Nous avons également pu trouver des échantillons d'une porte dérobée jusque-là inconnue (nous l'avons appelée FunnySwitch) avec une fonctionnalité de messagerie peer-to-peer atypique. Un rapport détaillé peut être trouvé ici , et dans cet article, nous vous expliquerons comment notre recherche a commencé.





introduction

La première attaque qui a attiré l'attention des experts date du 12 mai 2020.





Le fichier malveillant qui y est utilisé est une archive nommée Project link et New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). L'archive contient un document leurre au format PDF (Zeplin Copyright Policy.pdf), ainsi qu'un dossier Tous les projets délictueux - Web lnks avec deux raccourcis:





  • Conversations - iOS - Swipe Icons - Zeplin.lnk,





  • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.





20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.





― , LNK- Base64 CAB-, . JS-.





Contenu du script 34fDFkfSD32.js
34fDFkfSD32.js

, , 3t54dE3r.tmp.





30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :





  • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,





  • International English Language Testing System certificate.pdf.lnk.





12 . PDF-, IELTS.





Malwarebytes Zscaler. , Higaisa.





, , , Crosswalk. 2017 FireEye APT41 (Winnti).





Fragment du rapport FireEye
FireEye
Extrait de Shellcode 3t54dE3r.tmp
3t54dE3r.tmp

APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .





, LNK- Winnti (APT41), Higaisa .





Fragment d'infrastructure réseau

Crosswalk

Crosswalk , . , 20 , .





:





  • (uptime);





  • IP- ;





  • MAC- ;





  • ;





  • ;





  • ;





  • ;





  • PID ;





  • .





32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.





Crosswalk VMWare CarbonBlack.





Crosswalk , Crosswalk . ― . VMProtect.





Code d'injection Shellcode dans un processus en cours

, SeDebugPrivilege, PID . explorer.exe winlogon.exe.





:





  • Crosswalk,





  • Metasploit stager,





  • FunnySwitch ( ).





― . : , .





, LNK-.





Code de la fonction principale du chargeur de démarrage

Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.





, .





, Positive Technologies. Winnti. 







More articles:


All Articles