Los investigadores de Cybereason han descubierto una nueva campaña de software espía que ha estado activa durante al menos tres años e incluye nuevas variedades de malware, abusos raramente vistos de ciertas funciones de Windows y una "cadena de infección compleja".
Según el informe de la compañía, un actor patrocinado por el estado chino conocido como Winnti (también conocido como APT 41, BARIUM o Blackfly) ha estado apuntando a numerosas empresas de tecnología y fabricación en América del Norte, Europa y Asia durante al menos 2019.
El objetivo era identificar y exfiltrar datos confidenciales, como propiedad intelectual desarrollada por las víctimas, documentos confidenciales, planos, diagramas, fórmulas y datos de propiedad relacionados con la fabricación. Los investigadores creen que los atacantes robaron cientos de gigabytes de información valiosa.
Abuso raramente visto
Estos datos también ayudaron a los atacantes a mapear las redes, la estructura organizativa y los puntos finales de sus víctimas, lo que les dio una ventaja en caso de que decidieran empeorar las cosas (por ejemplo, con ransomware).
En su campaña, el actor de amenazas persistentes avanzadas Winnti implementó nuevas versiones de malware ya conocido (Spyder Loader, PRIVATELOG y WINNKIT), pero también implementó malware previamente desconocido: DEPLOYLOG.
Para implementar el malware, el grupo optó por un abuso "rara vez visto" de la funcionalidad CLFS de Windows, dijeron los investigadores. Aparentemente, el grupo explotó el mecanismo CLFS (Common Log File System) de Windows y las manipulaciones de transacciones NTFS, lo que le permitió ocultar las cargas útiles y evitar la detección por parte de los productos de seguridad.
La entrega de la carga útil en sí se describió como "compleja e interdependiente", parecida a un castillo de naipes. Por lo tanto, fue muy difícil para los investigadores analizar cada componente por separado.
Sin embargo, lograron armar el rompecabezas y afirmar que el arsenal de malware de Winnti incluye Spyder (una puerta trasera modular sofisticada), STASHLOG (la herramienta de implementación inicial que "oculta" las cargas útiles en Windows CLFS), SPARKLOG (extrae e implementa PRIVATELOG para escalar privilegios y lograr la persistencia en el punto final de destino), PRIVATELOG (extrae e implementa DEPLOYLOG) y DEPLOYLOG (implementa el rootkit WINNKIT). Finalmente, está WINNKIT, el rootkit de Winnti a nivel de kernel.