Winnti APT IOCs

security IOC

29 апреля 2024 года система анализа и анализа киберугроз XLab (CTIA) заметила необычную активность на IP-адресе 172.247.127.210. Было обнаружено, что данный IP-адрес распространяет вредоносный бэкдор Winnti на базе ELF. При дальнейшем расследовании было обнаружено, что этот IP-адрес уже в декабре 2023 года распространял вредоносный PHP-файл init_task.txt с нулевым уровнем обнаружения, что послужило ключевой зацепкой для анализа.

Winnti Backdoor

Используя init_task в качестве отправной точки, исследователи выявили несколько связанных с ним вредоносных PHP-полезных нагрузок, таких как task_loader, init_task_win32, client_loader, client_task, fetch_task и l0ader_shell. Эти полезные нагрузки могут функционировать самостоятельно или последовательно через task_loader, что образует сложную структуру атаки. Код выполняется в процессах PHP или PHP-FPM (FastCGI), что обеспечивает отсутствие файловой полезной нагрузки и делает след атаки незаметным. В ходе исследования был обнаружен ранее не документированный бэкдор для PHP, который был назван Glutton. Главные функциональные возможности Glutton включают исчезновение данных, установку бэкдоров и инъекцию кода.

Анализ образца ELF с идентификатором ac290ca4b5d9bab434594b08e0883fc5, вызвавшего тревогу, показал, что данный образец имеет сходство с инструментом PWNLNX, упомянутом в отчете BlackBerry про группу RATs, а также с образцами, упомянутыми в твите от IntezerLabs в сентябре 2020 года. Большинство производителей антивирусных программ классифицируют этот образец как бэкдор Winnti. C2-сервер с IP-адресом 156.251.163.120 оставался активным во время атаки, что подтверждает подлинность атаки.

На основе анализа было выявлено, что Glutton был нацелен на системы, используемые киберпреступными группировками. Такое направление атаки стало неожиданностью, так как атакующие стремились противостоять инструментам, используемым самими киберпреступниками.

Исследование также показало, что основные жертвы атак с использованием Glutton находились в Китае и США, главным образом в IT-службах, бизнес-операциях и социальном обеспечении.

Было обнаружено пять файлов, зараженных Glutton, которые были загружены из разных стран в июле 2024 года. Один файл был обнаружен в Китае, еще один в Германии, третий в Сингапуре, а два последних - в Соединенных Штатах. Эти файлы являются PHP-файлами и загружаются с сервера cc.thinkphp1.com.

В целом, Glutton является разновидностью APT-группы Winnti и ориентируется на системы, используемые другими киберпреступными группировками. Однако недостатки в скрытности и реализации этого вредоносного ПО вызывают определенные сомнения в атрибуции их к Winnti. Для избежания ошибочных выводов рекомендуется подходить к атрибуции с осторожностью и учитывать сложность киберпреступного ландшафта.

Indicators of Compromise

IPv4

  • 156.251.163.120
  • 172.247.127.210

Domains

  • cc.thinkphp1.com

URLs

  • http://{v6|v20}.thinkphp1.com/bt
  • http://{v6|v20}.thinkphp1.com/msg
  • http://{v6|v20}.thinkphp1.com/save
  • http://v6.thinkphp1.com/client/bt
  • udp://{v6|v20}.thinkphp1.com:9988
  • udp://jklwang.com:9999
  • v11_l0ader_shell
  • v20.thinkphp1.com/v20/fetch?
  • v20.thinkphp1.com/v20/init?
  • v20_l0ader_shell
  • v6.thinkphp1.com/php?

MD5

  • 00c5488873e4b3e72d1ccc3da1d1f7e4
  • 17dfbdae01ce4f0615e9a6f4a12036c4
  • 31c1c0ea4f9b85a7cddc992613f42a43
  • 4914b8e63f431fc65664c2a7beb7ecd5
  • 69ed3ec3262a0d9cc4fd60cebfef2a17
  • 6b5a58d7b82a57cddcd4e43630bb6542
  • 722a9acd6d101faf3e7168bec35b08f8
  • 8e734319f78c1fb5308b1e270c865df4
  • 8fe73efbf5fd0207f9f4357adf081e35
  • ac290ca4b5d9bab434594b08e0883fc5
  • ba95fce092d48ba8c3ee8456ee4570e4
  • f8ca32cb0336aaa1b30b8637acd8328d
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий