Heute präsentiert ESET ein mit vielen Neuigkeiten gespicktes Whitepaper über die Winnti Group. Im vergangenen März warnten ESET-Forschende vor Supply-Chain-Attacken gegen Videospiele-Entwickler in Asien.

Im April setzte man die Untersuchungen in zwei Richtungen fort. Die Forschenden interessierte besonders alle nachgelagerten Phasen der Malware, die durch einen Cyber-Angriff ausgelöst wurden. Darüber hinaus versuchte man herauszufinden, wie die anvisierten Entwickler und Publisher kompromittierte wurden, um durch ihre Spiele die Malware der Winnti Group zu verbreiten.

Parallel zur Analyse der Winnti Group veröffentlichten andere zusätzliche Berichte über die Aktivitäten der Cyber-Gang. Kaspersky publizierte Details zur ShadowHammer-Malware, die im Asus Live Update Utility gefunden wurde. In dem Beitrag erwähnen sie auch einige der eingesetzten Malware-Techniken, die wir im Whitepaper ausführlicher beschreiben, wie beispielsweise die Existenz eines VMProtect-Packers und einer PortReuse-Backdoor. Auch FireEye veröffentlichte einen Artikel über die Winnti Group aka APT41. Die von ESET durchgeführten Untersuchungen bestätigen einige der in den anderen Beiträgen publizierten Ergebnisse über nachgelagerte Phasen der Malware, wie beispielsweise die Verwendung kompromittierter Hosts zum Schürfen für Krypto-Währung.

Das hier zur Verfügung stehende Whitepaper bietet eine technische Analyse über die neusten Malware-Tools der Winnti Group. Es soll darüber aufklären, welche Angriffstechniken zum Einsatz kamen und welche Beziehungen zwischen den Supply-Chain-Ereignissen bestanden.

Wir hoffen, das Whitepaper kann dazu beitragen, den kompromittierten Organisationen zielgerichtete Hilfe zu leisten oder vor zukünftigen Kompromittierungen zu schützen.

Eine Anmerkung zur Namenskonvention

Es gibt viele Berichte über die Aktivitäten der Gruppe, wobei sie anscheinend jedes Mal einen neuen Namen bekommt. Manchmal lag das daran, das Verknüpfungen mit vorhandenen Untersuchungsergebnissen nicht evident genug waren, um Malware und Cyber-Aktivitäten der Winnti Group zuzuordnen. Wer die Malware-Samples nicht analysiert, bekommt Schwierigkeiten, sie der richtigen Cyber-Gruppierung zuzuordnen und verwendet deshalb einen neuen Alias – was wiederum für noch mehr Verwirrung sorgt.

Wir haben uns dafür entschieden, den Namen „Winnti Group“ beizubehalten, da er erstmals im Jahr 2013 von Kaspersky zur Identifizierung verwendet wurde. Wir wissen aber auch, dass Winnti gleichzeitig auch eine Malware-Family ist. Aus diesem Grund schreiben wir immer „Winnti Group“, wenn wir uns auf die Übeltäter beziehen. Seit dem Jahr 2013 zeigte sich, dass Winnti nur eine Malware-Family von vielen ist, die die Winnti Group einsetzt.

Man kann natürlich nicht ausschließen, dass auch andere Cyber-Gruppierungen die Winnti-Malware verwenden. Im Rahmen unserer Untersuchungen ordnen wir diese als Untergruppe der Winnti Group ein, weil es keine Beweise dafür gibt, dass sie vollständig isoliert agieren. Unsere Definition über die Winnti Group ist so gewählt, dass sie hauptsächlich auf verwendeter Malware und Angriffstechnik basiert, was viele Untergruppen mit einschließt.

Unser Whitepaper beinhaltet einen Abschnitt, der die von uns verwendeten Namen und ihre Aliase näher erläutert.

Verknüpfung von Supply-Chain Events

Abbildung 1: Winnti Group: Überblick über Artefakte, Techniken, Events und ihre Beziehungen zueinander

Abbildung 1: Winnti Group: Überblick über Artefakte, Techniken, Events und ihre Beziehungen zueinander

Uns überraschte der einzigartige Packer, der bei den jüngsten Supply-Chain-Attacken gegen die asiatischen Videospiele-Entwickler zum Einsatz kam. Wir berichteten bereits darüber im Artikel Asiens Gaming Branche weiter im Visier von Angreifern. Nach der Veröffentlichung des Berichts, verfolgten wir die Story weiter. Man bemerkte, dass der Packer in einer Backdoor namens PortReuse Verwendung fand. Nach weiteren Untersuchungen tauchten zusätzliche Backdoor-Samples auf. Nun bestätigte sich, dass das Hintertürchen bereits gegen aktuelle Ziele eingesetzt wurde.

Das hat uns dazu animiert, herauszufinden, wie die Cyber-Kriminellen die Backdoor auf den kompromittierten Hosts bereitstellten. Wir entdeckten einen VMProtected-Packer, der mithilfe von RC5-Verschlüsselung positionsunabhängigen Code entschlüsselt, der auf einer statischen Zeichenfolge und der Volume-Seriennummer der Festplatte des Opfers basiert, und der direkt ausgeführt werden kann. Hierbei handelt es sich um denselben Algorithmus, der von der Second Stage Winnti-Malware der kompromittierten Videospiele im Jahr 2018 gebraucht wurde.

Es gibt durchaus andere Möglichkeiten, die PortReuse-Backdoor zu verstecken. Der VMProtected-Packer benutzt aber dieselbe Cipher- und Key-Generation, was eine Verbindung zwischen den Supply-Chain-Attacken stärkt.

Neben der Backdoor stellten wir auch noch eine andere Payload mit demselben VMProtected-Packer fest: die ShadowPad-Malware. ShadowPad tauchte das erste Mal während des NetSarang Supply-Chain-Vorfalls auf, bei dem sich legitime Software mit Malware vermischte. Heutzutage sehen wir Varianten von ShadowPad in Unternehmen, auf die die Gruppe abzielt ohne das DGA-Modul (Domain Generation Algorithmus).

Die letzte Kompromittierungsstufe der Supply-Chain Attack gegen Videospiele: XMRig

Einige Wochen nach Veröffentlichung unseres März-Artikels konnten wir die dritte und letzte Stufe des von uns beschriebenen Supply-Chain-Angriffs entwirren. Nach der Entschlüsselung war die Nutzlast eine maßgefertigte Version von XMRig, einem beliebten Open-Source-Cryptocurrency-Miner. Das war nicht ganz das, was wir erwarteten, da die Winnti Group eher für ihre Spionageoperationen bekannt ist und nicht für das Schürfen von Krypto-Währung. Wir vermuten, dass sie mit dem virtuellen Geld ihre Infrastruktur (C&C-Server, Domain-Namen usw.) finanzieren.

Eine neue Winnti Group Backdoor: PortReuse

Abbildung 2: PortReuse Backdoor-Architektur

Abbildung 2: PortReuse Backdoor-Architektur

Die PortReuse-Backdoor verwendet keinen C&C-Server. Das Hintertürchen wartet auf eine eingehende Verbindung, die ein "magisches" Paket sendet. Dazu wird kein zusätzlicher TCP-Port geöffnet. Stattdessen wird sie in einen vorhandenen Prozess eingebunden und ein bereits geöffneter Port wiederverwendet. Um die eingehenden Daten auf das „Magic-Packet“ hin analysieren zu können, verwendet man zwei Methoden: Verknüpfen der Empfangsfunktion (WSARecv oder untergeordneter NtDeviceIoControlFile) oder Registrieren eines Handlers für eine bestimmte URL-Ressource auf einem IIS-Server mithilfe von HttpAddUrl mit einem URLPrefix.

Es existieren Varianten für verschiedene Dienste und Ports. Dazu gehören DNS (53), HTTP (80), HTTPS (443), RDP (3389) und WinRM (5985).

Dank Censys konnten ESET-Forscher einen großen asiatischen Hersteller von Mobile-Software und Hardware warnen, dass dieser mit der PortReuse-Backdoor kompromittiert wurde. In Zusammenarbeit mit Censys führten wir einen internetweiten Scan im Hinblick auf die PortReuse-Variante, die in IIS injiziert wird, durch.

Nähere Informationen zur PortReuse-Backdoor findet man im ESET-Whitepaper: Connecting the Dots.

ShadowPad Update

Neben der neuen PortReuse-Backdoor aktualisierte die Winnti-Gruppe die aktiv genutzte Flaggschiff-Backdoor ShadowPad. Eine der Änderungen ist die Randomisierung der Modul-Identifier. Die in jedem Modul der Samples gefundenen Zeitstempel deuten auf die Kompilierung im Jahr 2019 hin.

ShadowPad ruft die IP-Adresse und das Protokoll des zu nutzenden C&C-Servers ab, indem Web-Inhalte aus GitHub, Steam-Profilen, Microsoft TechNet-Profilen oder Google Docs abgerufen werden, welche die Cyber-Angreifern einrichteten. Die ShadowPad-Config enthält auch eine Campaign-ID. Beides beobachtet man genauso bei der Winnti Malware-Family.

Fazit

ESET-Forschende sind stets auf der Suche nach Supply-Chain-Attacken. Das ist keine leichte Aufgabe. Das Identifizieren von vergleichsweise kleinem Code, eingebettet in eine riesige Codebasis, gleicht der Suche nach der Nadel im Heuhaufen. Dabei verlassen wir uns auf Code-Ähnlichkeiten, um die Nadel besser erkennen zu können.

Uns überraschte die letzte Kompromittierungsstufe der Supply-Chain Attack gegen Videospiele. Die Winnti Group ist eher für ihre Spionagefähigkeiten bekannt – nicht aber für das Schürfen von Krypto-Währung mit Hilfe eines Botnets. Vielleicht verwenden die Cyber-Kriminellen die virtuelle Währung, um ihre Infrastruktur aufrechtzuerhalten und auszubauen, oder um andere Malware-Operationen zu finanzieren. Die eine oder andere Winnti-Subgruppe mag möglicherweise bloß nach finanziellem Profit streben.

ESET-Forscher werden die Winnti Group weiterhin verfolgen und zusätzliche Details bereitstellen, sobald das Team sie findet. Wer glaubt, kompromittiert worden zu sein oder wer weitere Fragen hat, wendet sich bitte an unser Team via threatintel@eset.com .

Hinweise auf Kompromittierungen befinden sich in unserem Whitepaper sowie in unserem Malware-IoC-Repository auf GitHub.