Clever Geek Handbook

Higaisa atau Winnti? Bagaimana Kami Mendefinisikan Kepemilikan Pintu Belakang





Selama pemantauan ancaman keamanan informasi pada Mei 2020, para ahli Positive Technologies menemukan beberapa sampel baru perangkat lunak berbahaya (malware). Pada pandangan pertama, mereka seharusnya dikaitkan dengan grup Higaisa, tetapi analisis mendetail menunjukkan bahwa mereka harus dikaitkan dengan grup Winnti (juga dikenal sebagai APT41, menurut FireEye). 





Pemantauan mendetail juga mengungkapkan banyak contoh lain dari malware grup APT41, termasuk backdoors, droppers, loader, dan injector. Kami juga dapat menemukan contoh backdoor yang sebelumnya tidak dikenal (kami menyebutnya FunnySwitch) dengan fungsionalitas perpesanan peer-to-peer yang tidak biasa. Laporan terperinci disajikan di sini , dan dalam artikel ini kami akan memberi tahu Anda tentang bagaimana penelitian kami dimulai.





pengantar

Serangan pertama yang menarik perhatian para ahli bertanggal 12 Mei 2020.





File berbahaya yang digunakan di dalamnya adalah arsip bernama tautan Proyek dan Kebijakan hak cipta baru.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Arsip berisi dokumen umpan dalam format PDF (Kebijakan Hak Cipta Zeplin.pdf), serta folder Semua proyek tort - Web lnks dengan dua pintasan:





  • Conversations - iOS - Swipe Icons - Zeplin.lnk,





  • Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.





20200308-sitrep-48-covid-19.pdf.lnk, Higaisa 2020.





― , LNK- Base64 CAB-, . JS-.





Konten skrip 34fDFkfSD32.js
34fDFkfSD32.js

, , 3t54dE3r.tmp.





30 2020 — CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) :





  • Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,





  • International English Language Testing System certificate.pdf.lnk.





12 . PDF-, IELTS.





Malwarebytes Zscaler. , Higaisa.





, , , Crosswalk. 2017 FireEye APT41 (Winnti).





Laporan Fragmen FireEye
FireEye
Cuplikan kode shell 3t54dE3r.tmp
3t54dE3r.tmp

APT41: IP- C2- SSL- SHA-1 b8cff709950cfa86665363d9553532db9922265c, IP- 67.229.97[.]229, CrowdStrike 2018 . Kaspersky 2013 .





, LNK- Winnti (APT41), Higaisa .





Fragmen infrastruktur jaringan

Crosswalk

Crosswalk , . , 20 , .





:





  • (uptime);





  • IP- ;





  • MAC- ;





  • ;





  • ;





  • ;





  • ;





  • PID ;





  • .





32-, 64- . , — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.





Crosswalk VMWare CarbonBlack.





Crosswalk , Crosswalk . ― . VMProtect.





Kode injeksi shellcode ke dalam proses yang sedang berjalan

, SeDebugPrivilege, PID . explorer.exe winlogon.exe.





:





  • Crosswalk,





  • Metasploit stager,





  • FunnySwitch ( ).





― . : , .





, LNK-.





Kode fungsi utama bootloader

Winnti , . , Metasploit, Cobalt Strike, PlugX, , . , 2020 ― FunnySwitch.





, .





, Positive Technologies. Winnti. 







More articles:


All Articles