Aktor ancaman yang terkait dengan China yang dikenal sebagai Winnti telah dikaitkan dengan kampanye baru yang dijuluki Revivalstone Itu menargetkan perusahaan Jepang di sektor manufaktur, bahan, dan energi pada Maret 2024.
Kegiatan tersebut, yang dirinci oleh perusahaan keamanan siber Jepang Lac, tumpang tindih dengan kluster ancaman yang dilacak oleh tren mikro sebagai Earth Freybug, yang telah dinilai sebagai subset dalam kelompok spionase cyber apt41, dengan cybereason dengan nama Operation Cuckoobees, dan oleh Symantec sebagai sebagai Symantec sebagai sebagai cybereason dengan nama Operation Cuckoobees, dan oleh Symantec sebagai sebagai Operasi Operasi, dan oleh Symantec As Blackfly.
APT41 telah digambarkan sebagai aktor yang sangat terampil dan metodis dengan kemampuan untuk melakukan serangan spionase serta meracuni rantai pasokan. Kampanyenya sering dirancang dengan mempertimbangkan siluman, memanfaatkan sejumlah taktik untuk mencapai tujuannya dengan menggunakan toolset khusus yang tidak hanya melewati perangkat lunak keamanan yang dipasang di lingkungan, tetapi juga memanen informasi penting dan membuat saluran rahasia untuk akses jarak jauh yang persisten.
“Kegiatan spionase kelompok, banyak di antaranya selaras dengan tujuan strategis negara, telah menargetkan berbagai sektor industri publik dan swasta di seluruh dunia,” kata Lac.
“Serangan kelompok ancaman ini ditandai dengan penggunaan malware Winnti, yang memiliki rootkit unik yang memungkinkan untuk persembunyian dan manipulasi komunikasi, serta penggunaan sertifikat digital yang dicuri dan sah dalam malware.”
Winnti, aktif sejak setidaknya 2012, terutama telah memilih organisasi manufaktur dan bahan terkait material di Asia pada tahun 2022, dengan kampanye terbaru antara November 2023 dan Oktober 2024 yang menargetkan wilayah Asia-Pasifik (APAC) yang mengeksploitasi kelemahan dalam aplikasi yang menghadap publik seperti seperti seperti publik seperti seperti publik seperti publik IBM Lotus Domino untuk menggunakan malware sebagai berikut –
- Deathlotus – pintu belakang CGI pasif yang mendukung pembuatan file dan eksekusi perintah
- Unapimon – Utilitas penghindaran pertahanan yang ditulis dalam C ++
- Privatelog – Loader yang digunakan untuk menjatuhkan Winnti Rat (alias Deploylog) yang, pada gilirannya, memberikan rootkit tingkat kernel bernama Winnkit dengan menggunakan penginstal rootkit
- Cunningpigeon – Backdoor yang menggunakan Microsoft Graph API untuk mengambil perintah – manajemen file dan proses, dan proxy khusus – dari pesan email
- KAPAL BERLAYAR – Rootkit dengan kemampuan untuk mencegat antarmuka jaringan TCPIP, serta membuat saluran terselubung dengan titik akhir yang terinfeksi dalam intranet
- Shadowgaze – Port mendengarkan yang digunakan kembali secara pasif dari IIS Web Server
Rantai serangan terbaru yang didokumentasikan oleh LAC telah ditemukan untuk mengeksploitasi kerentanan injeksi SQL dalam sistem perencanaan sumber daya perusahaan yang tidak ditentukan (ERP) untuk menjatuhkan cangkang web seperti China Chopper dan Behinder (alias Bingxia dan Icescorpion) pada server yang dikompromikan, menggunakan akses Untuk melakukan pengintaian, kumpulkan kredensial untuk pergerakan lateral, dan kirimkan versi Malware Winnti yang lebih baik.
Jangkauan intrusi dikatakan telah diperluas lebih jauh untuk melanggar penyedia layanan terkelola (MSP) dengan memanfaatkan akun bersama, diikuti dengan mempersenjatai infrastruktur perusahaan untuk menyebarkan malware lebih jauh ke tiga organisasi lain.
Lac mengatakan juga menemukan referensi ke Treadstone dan Stonev5 dalam kampanye Revivalstone, dengan yang pertama menjadi pengontrol yang dirancang untuk bekerja dengan Malware Winnti dan yang juga termasuk dalam kebocoran I-Soon (alias anxun) tahun lalu sehubungan dengan Hubungan dengan Panel Kontrol Malware Linux.
“Jika Treadstone memiliki arti yang sama dengan malware Winnti, itu hanya spekulasi, tetapi Stonev5 juga bisa berarti versi 5, dan ada kemungkinan bahwa malware yang digunakan dalam serangan ini adalah Winnti v5.0,” kata para peneliti Takuma Matsumoto dan Yoshihiro Ishikawa Ishikawa Ishikawa Ishikawa Yoshihiro Ishikawa .
“Malware Winnti baru telah diimplementasikan dengan fitur -fitur seperti kebingungan, algoritma enkripsi yang diperbarui, dan penghindaran oleh produk keamanan, dan kemungkinan bahwa kelompok penyerang ini akan terus memperbarui fungsi malware Winnti dan menggunakannya dalam serangan.”
Pengungkapan itu datang ketika Fortinet Fortiguard Labs merinci rangkaian serangan berbasis Linux yang dijuluki SSHDInjector yang diperlengkapi untuk membajak daemon SSH pada peralatan jaringan dengan menyuntikkan malware ke dalam proses untuk akses persisten dan tindakan rahasia sejak November 2024.
Suite malware, yang terkait dengan kelompok peretasan negara-bangsa Cina lain yang dikenal sebagai Daggerfly (alias dataran tinggi perunggu dan panda Evasive), direkayasa untuk exfiltrasi data, mendengarkan instruksi yang masuk dari server jarak jauh untuk menyebutkan proses dan layanan yang berjalan, melakukan operasi file, Luncurkan Terminal, dan Jalankan Perintah Terminal.
