Les chercheurs de Cybereason ont découvert une nouvelle campagne de logiciels espions active depuis au moins trois ans et comprenant de nouvelles souches de logiciels malveillants, des abus rarement observés de certaines fonctionnalités de Windows et une « chaîne d'infection complexe ».
Selon le rapport de la société, un acteur parrainé par l'État chinois connu sous le nom de Winnti (également connu sous le nom d'APT 41, BARIUM ou Blackfly) cible de nombreuses entreprises technologiques et manufacturières en Amérique du Nord, en Europe et en Asie depuis au moins 2019. .
L'objectif était d'identifier et d'exfiltrer des données sensibles, telles que la propriété intellectuelle développée par les victimes, des documents sensibles, des plans, des diagrammes, des formules et des données propriétaires liées à la fabrication. Les enquêteurs pensent que les attaquants ont volé des centaines de gigaoctets d'informations précieuses.
abus rarement vu
Ces données ont également aidé les attaquants à cartographier les réseaux, la structure organisationnelle et les terminaux de leurs victimes, leur donnant un avantage s'ils décidaient d'aggraver les choses (par exemple, avec des ransomwares).
Dans sa campagne, l'acteur avancé de menaces persistantes Winnti a déployé de nouvelles versions de logiciels malveillants déjà connus (Spyder Loader, PRIVATELOG et WINNKIT), mais a également déployé des logiciels malveillants jusque-là inconnus : DEPLOYLOG.
Pour déployer le malware, le groupe a opté pour un abus « rarement observé » de la fonctionnalité CLFS de Windows, ont indiqué les chercheurs. Le groupe a apparemment exploité le mécanisme CLFS (Common Log File System) de Windows et les manipulations de transactions NTFS, lui permettant de masquer les charges utiles et d'éviter d'être détecté par les produits de sécurité.
La livraison de la charge utile elle-même a été décrite comme « complexe et interdépendante », ressemblant à un château de cartes. Il était donc très difficile pour les chercheurs d’analyser chaque composant séparément.
Cependant, ils ont réussi à reconstituer le puzzle et à affirmer que l'arsenal de logiciels malveillants de Winnti comprend Spyder (une porte dérobée modulaire sophistiquée), STASHLOG (l'outil de déploiement initial qui « cache » les charges utiles dans Windows CLFS), SPARKLOG (extrait et déploie PRIVATELOG pour élever les privilèges et obtenir la persistance sur le point de terminaison cible), PRIVATELOG (extrait et déploie DEPLOYLOG) et DEPLOYLOG (déploie le rootkit WINNKIT). Enfin, il existe WINNKIT, le rootkit Winnti au niveau du noyau.