Investigadores da ESET destacam as atualizações do malware e das campanhas do Grupo Winnti, conhecido pelos seus ataques de supply-chain.
A equipa de investigadores da ESET publicou um white paper com a atualização das informações sobre o Grupo Winnti. No último mês de março, os investigadores da ESET alertaram sobre um novo ataque de supply-chain dirigido aos desenvolvedores de jogos eletrónicos na Ásia. Depois dessa publicação, deram continuidade à pesquisa em duas direções. Estavam interessados em encontrar outras etapas do malware entregue por esse ataque, e também tentaram descobrir como os desenvolvedores e distribuidores alvos deste ataque ficaram comprometidos e possam ter distribuído o malware do Grupo Winnti nas suas aplicações.
Enquanto isso, foram publicados relatórios adicionais sobre as atividades do Grupo Winnti. A Kaspersky publicou detalhes sobre o malware ShadowHammer que foi descoberto em utilitários Asus Live Update. Este relatório também mencionou algumas das técnicas que descreveram em detalhes neste novo white paper, como a existência de um empacotador VMProtect e uma breve descrição da backdoor PortReuse. A FireEye também publicou um artigo sobre um grupo que batizaram como APT41. A nossa pesquisa confirma algumas de suas descobertas sobre os estágios posteriores em alguns dos ataques de supply-chain, como o uso de hosts comprometidos para a mineração de criptomoedas.
O nosso documento fornece uma análise técnica do malware recentemente usado pelo Grupo Winnti. Esta análise aperfeiçoa ainda mais a nossa compreensão sobre as técnicas usadas pelo grupo e permite-nos entender as relações entre os diferentes incidentes de supply-chain.
Esperamos que o white paper e os indicadores de comprometimento que publicamos ajudem as organizações alvo a perceber se são vítimas ou a evitar ataques futuros.
White Paper: Connecting the dots: Exposing the arsenal and methods of the Winnti Group
Observações relacionadas à nomeação do grupo e do malware
Há muitos relatórios sobre as atividades deste grupo – ou talvez destes grupos. Parece que cada relatório atribui novos nomes ao grupo e ao malware que eles usam. Por vezes, isso pode acontecer porque o vínculo com uma pesquisa existente não é suficientemente forte para classificar o malware e as suas atividades de interesse com um nome anterior, ou porque os distribuidores e grupos de pesquisa têm as suas próprias classificações e nomes que já utilizaram nos seus relatórios públicos. Para alguém que não analisa amostras de malware, pode ser difícil confirmar pseudónimos, sob o risco de ficar confuso.
Optamos por manter o nome “Grupo Winnti”, pois é o nome que a Kaspersky utilizou pela primeira vez para identificá-lo em 2013. Entendemos que Winnti é também uma família de malware: é por isso que sempre escrevemos Grupo Winnti quando nos referimos aos responsáveis pelos ataques. Além disso, desde 2013 foi provado que a Winnti é apenas uma das muitas famílias de malware usadas pelo Grupo Winnti.
Para sermos mais claros, não descartamos a ideia de que podem existir vários grupos a usar o malware Winnti. Na nossa pesquisa, referimo-nos a eles como possíveis subgrupos do Grupo Winnti porque não há evidência de que estejam completamente isolados. A nossa definição do Grupo Winnti é ampla o suficiente para incluir todos esses subgrupos, pois baseia-se principalmente no malware e nas técnicas que usam.
Nosso white paper inclui uma secção que descreve os nomes usados e os seus pseudónimos.
Vinculação de eventos de supply-chain
Ficámos intrigados com o empacotador exclusivo utilizado nos recentes ataques de supply-chain contra a indústria de jogos eletrónicos na Ásia. Na tentativa de descobrir se era usado em qualquer outro contexto, a resposta foi positiva, pois descobrimos que esse empacotador é usado numa backdoor a que os ciber criminosos chamam de PortReuse. Depois de mais pesquisas, encontrámos amostras adicionais dessa backdoor num contexto que realmente confirma que é usado em organizações específicas.
Esta situação levou-nos pelo caminho que nos permitiu descobrir como o empacotador é implementado em hosts comprometidos. Descobrimos um empacotador VMProtected que desencripta o código, independentemente da posição, usando RC5 com uma password baseada numa cadeia estática e o número de série do volume do disco rígido da vítima, e executa-o diretamente. Esse é exatamente o mesmo algoritmo usado pelo malware de segundo estágio nos jogos comprometidos pelo Grupo Winnti em 2018. Existem outras formas de ocultar o backdoor PortReuse, mas esse empacotador VMProtected que usa a mesma criptografia e a mesma técnica de geração de passwords fortalece o relacionamento entre os incidentes.
Vimos outro payload a ser propagado com o mesmo empacotador VMProtected: o malware ShadowPad. Esse malware foi visto pela primeira vez durante o incidente de supply-chain da NetSarang, no qual esse malware foi incluído no software. Hoje vemos variantes do ShadowPad, sem o módulo Domain Generation Algorithm (DGA), em organizações alvo do grupo.
Etapa final do ataque à cadeia de suprimentos direcionado a gamers: XMRig
Entretanto conseguimos adquirir a terceira e última fase do ataque de supply-chain que descrevemos. Uma vez desencriptado, o payload era uma versão personalizada do XMRig, um conhecido mineiro de criptomoedas de código aberto. Não foi exatamente o que estávamos à espera, porque o Grupo Winnti é conhecido pelas suas operações de espionagem e não pela realização de operações com fins lucrativos. Talvez esse dinheiro virtual seja a forma como financiam a sua infraestrutura (servidores C&C, nomes de domínio, etc.), mas isso é apenas uma suposição.
Uma nova backdoor usada contra organizações alvo: PortReuse
A backdoor PortReuse não usa um servidor C&C – ele espera que uma ligação de entrada envie um pacote “mágico”. Para fazer isso, a ameaça não abre uma porta TCP adicional – é injetado num processo existente para “reutilizar” uma porta que já está aberta. Para examinar os dados recebidos em busca do pacote mágico, duas técnicas são usadas: hooking da função de receção (WSARecv ou mesmo o NtDeviceIoControlFile de nível inferior) ou através do registo de um handler para um recurso de URL específico num servidor IIS usando HttpAddUrl com um URLPrefix.
As variantes estão disponíveis e apontam para diferentes serviços e portas, e incluem DNS (53), HTTP (80), HTTPS (443), RDP (3389) e WinRM (5985).
Graças ao Censys, os investigadores da ESET puderam advertir um importante fabricante asiático de software e hardware para dispositivos móveis de que havia sido vítima de um ataque realizado pela backdoor PortReuse. Trabalhámos com o Censys para realizar uma pesquisa na Internet para a variante PortReuse que é injetada no IIS.
Mais detalhes sobre a operação interna do PortReuse estão disponíveis no white paper.
Atualização da ShadowPad
Para além da nova backdoor PortReuse, o Grupo Winnti usa e atualiza ativamente a sua backdoor principal, a ShadowPad. Uma das alterações é a uso aleatório dos identificadores do módulo. As marcas de tempo descobertas em cada módulo das amostras indicam que foram compilados em 2019.
A ShadowPad recupera o endereço IP e o protocolo do servidor C&C para analisar o conteúdo web configurado pelos atacantes e hospedado em recursos públicos disponíveis, como repositórios GitHub, perfis Steam, perfis Microsoft TechNet ou documentos do Google Docs. Também possui um identificador de campanha na sua configuração. Ambas as técnicas são também usadas pela família de malware Winnti.
Conclusão
Os investigadores da ESET estão sempre à procura de novos ataques de supply-chain. Não é uma tarefa fácil: identificar um código pequeno e bem escondido adicionado a uma base de código existente (por vezes enorme) é como encontrar uma agulha num palheiro. No entanto, podemos confiar em comportamentos e semelhanças de código para nos ajudar a descobrir a agulha.
Ficámos bastante surpreendidos com a fase final que encontrámos no recente incidente de supply-chain de jogos eletrónicos. Este grupo é conhecido pelas suas capacidades de espionagem, não pela mineração de criptomoedas utilizando a sua rede de bots. Talvez usem o dinheiro virtual que extraem para financiar as suas outras operações, ou talvez para alugar servidores e registar nomes de domínio. Mas, neste momento, não podemos excluir que eles, ou um de seus subgrupos, possam ser motivados por ganhos financeiros.
Os indicadores de compromisso estão disponíveis no white paper, bem como no repositório no GitHub.