Chinese hackers betrapt op het stelen van intellectueel eigendom van multinationale bedrijven

Operación CuckooBees Nachrichten

Een ongrijpbare en geavanceerde cyberspionagecampagne, georkestreerd door de door China gesteunde Winnti-groep, is erin geslaagd om sinds ten minste 2019 onder de radar te blijven.

nagesynchroniseerd „Operatie CuckooBees“ door het Israëlische cyberbeveiligingsbedrijf Cybereason, stelde de massale diefstal van intellectueel eigendom de dreigingsactor in staat om honderden gigabytes aan informatie te exfiltreren.

De doelwitten waren onder meer technologie- en productiebedrijven die voornamelijk gevestigd zijn in Oost-Azië, West-Europa en Noord-Amerika.

„De aanvallers hebben zich gericht op intellectueel eigendom dat door de slachtoffers is ontwikkeld, waaronder gevoelige documenten, blauwdrukken, diagrammen, formules en productiegerelateerde eigendomsgegevens“, aldus de onderzoekers. zei.

„Bovendien hebben de aanvallers informatie verzameld die kan worden gebruikt voor toekomstige cyberaanvallen, zoals details over de bedrijfseenheden van het doelbedrijf, netwerkarchitectuur, gebruikersaccounts en inloggegevens, e-mails van werknemers en klantgegevens.“

Winnti, dat ook wordt gevolgd door andere leveranciers van cyberbeveiliging onder de namen APT41, Axiom, Barium en Bronze Atlas, staat bekend als actief sinds ten minste 2007.

„De bedoeling van de groep is diefstal van intellectueel eigendom van organisaties in ontwikkelde economieën, en met een gematigd vertrouwen dat dit namens China is om de besluitvorming in een reeks Chinese economische sectoren te ondersteunen,“ Secureworks notities in een dreigingsprofiel van de acteur.

De meerfasige infectieketen die door Cybereason is gedocumenteerd, omvat de exploitatie van op internet gerichte servers om een ​​webshell te implementeren met als doel verkenningsactiviteiten, zijwaartse verplaatsingen en gegevensexfiltratie-activiteiten uit te voeren.

Het is zowel complex als ingewikkeld en volgt een „kaartenhuis“-benadering in die zin dat elk onderdeel van de killchain afhankelijk is van andere modules om te kunnen functioneren, waardoor analyse buitengewoon moeilijk wordt.

Chinese hackers

„Dit toont de aandacht en moeite die is gestoken in zowel de malware- als de operationele beveiligingsoverwegingen, waardoor het bijna onmogelijk is om te analyseren tenzij alle puzzelstukjes in de juiste volgorde zijn samengevoegd“, leggen de onderzoekers uit.

Het verzamelen van gegevens wordt vergemakkelijkt door middel van een modulaire loader genaamd Spyder, die wordt gebruikt om extra payloads te decoderen en te laden. Er worden ook vier verschillende payloads gebruikt – STASHLOG, SPARKLOG, PRIVATELOG en DEPLOYLOG – die achtereenvolgens worden ingezet om de WINNKIT, een rootkit op kernelniveau, te verwijderen.

Cruciaal voor de heimelijkheid van de campagne is het gebruik van „zelden geziene“ technieken, zoals het misbruik van Windows Common Log File System (CLFS) mechanisme om de payloads op te bergen, waardoor de hackgroep hun payloads kan verbergen en detectie door traditionele beveiligingsproducten kan omzeilen.

Interessant is dat delen van de aanvalsvolgorde eerder in september 2021 door Mandiant werden gedetailleerd, terwijl het wees op het misbruik van CLFS om tweede-traps payloads te verbergen in een poging om detectie te omzeilen.

Het cyberbeveiligingsbedrijf schreef de malware toe aan een onbekende actor, maar waarschuwde dat het zou kunnen zijn ingezet als onderdeel van een zeer gerichte activiteit.

„Omdat het bestandsformaat niet algemeen wordt gebruikt of gedocumenteerd, zijn er geen tools beschikbaar die CLFS-logbestanden kunnen ontleden“, zei Mandiant destijds. „Dit biedt aanvallers de mogelijkheid om op een handige manier hun gegevens als logrecords te verbergen, omdat deze toegankelijk zijn via API-functies.“

WINNKIT, van zijn kant, heeft een compilatietijdstempel van mei 2019 en heeft bijna nul detectie tarief in VirusTotal, waarin de ontwijkende aard van de malware wordt benadrukt waardoor de auteurs jarenlang onontdekt bleven.

Het uiteindelijke doel van de inbraken, zo schatten de onderzoekers, is het overhevelen van bedrijfseigen informatie, onderzoeksdocumenten, broncode en blauwdrukken voor verschillende technologieën.

„Winnti is een van de meest ijverige groepen die opereert namens Chinese staatsgebonden belangen“, zei Cybereason. „De bedreiging [actor] gebruikten een uitgebreide, meertraps infectieketen die van cruciaal belang was om de groep zo lang onopgemerkt te laten blijven.“

David
Rate author
Hackarizona