H κινεζική κρατική ομάδα απειλών Winnti παραβίασε τουλάχιστον 13 οργανισμούς παγκοσμίως το 2021, σε πολλούς τομείς, λέει η εταιρεία κυβερνοασφάλειας Group-IB.
Αναφέρεται επίσης ως APT41, Barium, Blackfly, Double Dragon, Wicked Panda και Wicked Spider, η ομάδα Winnti δραστηριοποιείται τουλάχιστον από το 2007, συμμετέχοντας τόσο σε επιχειρήσεις κυβερνοκατασκοπείας όσο και σε επιθέσεις με οικονομικά κίνητρα.
Τον Σεπτέμβριο του 2020, το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε κατηγορίες εναντίον πέντε Κινέζων υπηκόων που πιστεύεται ότι ανήκουν στην ομάδα Winnti, οι οποίοι φέρεται να εξαπέλυσαν επιθέσεις εναντίον περισσότερων από 100 οργανώσεων στις ΗΠΑ και στο εξωτερικό.
Παρά το κατηγορητήριο και τις πολυάριθμες δημόσιες αναφορές που περιγράφουν λεπτομερώς τις δραστηριότητες της ομάδας, οι χάκερ συνέχισαν τις δραστηριότητές τους. Τον Μάρτιο του 2022, η Mandiant περιέγραψε λεπτομερώς την παραβίαση τουλάχιστον έξι κυβερνητικών οργανισμών των ΗΠΑ μεταξύ Μαΐου 2021 και Φεβρουαρίου 2022.
Σε μια νέα έκθεση, η Group-IB παρέχει μια ευρύτερη προοπτική για τις δραστηριότητες της ομάδας για το 2021: οι χάκερ παραβίασαν τουλάχιστον 13 οργανισμούς, στοχεύοντας συχνά ευπάθειες SQL injection σε εφαρμογές web, αλλά αναπτύσσοντας ένα προσαρμοσμένο Cobalt Strike Beacon σε κάθε περίπτωση.
Οι στόχοι περιελάμβαναν αεροπορικές εταιρείες, συμβουλές, εκπαίδευση, οικονομικά, κυβέρνηση, φιλοξενία, υγειονομική περίθαλψη, υλικοτεχνική υποστήριξη, μεταποίηση, μέσα ενημέρωσης, λογισμικό, αθλήματα, τηλεπικοινωνίες και ταξιδιωτικούς οργανισμούς στο Μπαγκλαντές, Μπρουνέι, Κίνα, Ινδία, Ινδονησία, Ιρλανδία, Χονγκ Κονγκ, Μογγολία, Ταϊλάνδη , Ταϊβάν, Βιετνάμ, ΗΠΑ και Ηνωμένο Βασίλειο.
Ως μέρος αυτών των επιθέσεων, ο παράγοντας απειλών εκτέλεσε αναγνώριση χρησιμοποιώντας εργαλεία όπως σαρωτές ευπάθειας (Acunetix, JexBoss), σαρωτές δικτύου (Nmap) και βοηθητικά προγράμματα brute-forcing (OneForAll, Sqlmap, υποτομέας3, subDomainsBrute και Sublist3r). Χρησιμοποίησαν επίσης το fofa.su, ένα κινεζικό ισοδύναμο του shodan.io, για τη συλλογή πληροφοριών σχετικά με ανοιχτές θύρες και τις τρέχουσες υπηρεσίες.
Οι εισβολείς πραγματοποίησαν ενέσεις SQL σε 43 εφαρμογές Ιστού (από τις 86 που εξέτασαν) για να αποκτήσουν πρόσβαση στο κέλυφος εντολών των στοχευμένων διακομιστών και να αποκτήσουν δυνατότητες εκτέλεσης εντολών. Οι υπηρεσίες Task Scheduler και Windows χρησιμοποιήθηκαν για την επίτευξη επιμονής.
Το Group-IB ομαδοποίησε την παρατηρούμενη δραστηριότητα σε τέσσερις κακόβουλες καμπάνιες, με βάση τα ονόματα τομέα που χρησιμοποιήθηκαν σε καθεμία από αυτές: ColunmTK, DelayLinkTK, Gentle-Voice και Mute-Pond.
Ως μέρος των περισσότερων από τις καμπάνιες που παρατηρήθηκαν, οι εισβολείς χρησιμοποίησαν ένα βοηθητικό πρόγραμμα των Windows που ονομάζεται Ntdsutil για να αποκτήσουν το αρχείο ntds.dit, το οποίο αποθηκεύει δεδομένα της υπηρεσίας καταλόγου Active Directory, συμπεριλαμβανομένων των διαπιστευτηρίων χρήστη. Οι χάκερ παρατηρήθηκαν επίσης να χαρτογραφούν το δίκτυο του θύματος και να εκτελούν πλευρική κίνηση.
Αφού απέκτησαν πρόσβαση σε διαμορφώσεις διακομιστή, δεδομένα αντιγράφων ασφαλείας και δεδομένα χρήστη, οι κυβερνοκατάσκοποι προχώρησαν σε διείσδυση πληροφοριών ενδιαφέροντος, αλλά το Group-IB πιστεύει ότι «δεν διείσδυσαν μεγάλο αριθμό εμπιστευτικών εγγράφων».