WINNKIT

WINNKIT is een geavanceerde en uiterst ontwijkende dreiging waarvan is ontdekt dat deze deel uitmaakt van het arsenaal van de door China gesteunde APT-groep Winnti (Advanced Persistent Threat). De Winnti-malware fungeerde als de laatste lading in een meerfasige infectieketen die werd gebruikt in een cyberspionagecampagne die jarenlang duurde. Winnti volgde ook als APT41, Barium en Blackfly slaagden erin om de interne netwerken van doelen verspreid over Noord-Amerika, Europa en Azië te infiltreren.

De hackers zouden honderden gigabytes aan vertrouwelijke informatie hebben verkregen, bestaande uit intellectueel eigendom en bedrijfseigen gegevens, diagrammen, blauwdrukken en meer. Details over de volledige infectieketen van de operatie en de gebruikte bedreigende tools werden onthuld in een rapport gepubliceerd door Cybereason.

De WINNKIT-dreiging neemt de vorm aan van een stuurprogramma dat is uitgerust met rootkit-mogelijkheden. Een bewijs van de effectiviteit van zijn stealth- en detectie-ontduikingstechnieken is het feit dat WINNKIT erin is geslaagd om minstens 3 jaar onopgemerkt te blijven. Om het Driver Signature Enforcement (DSE)-mechanisme te omzeilen dat wordt aangetroffen op Windows-systemen met Windows Vista 64-bit en hoger, bevat WINNKIT een verlopen digitale handtekening van BenQ.

Nadat het is gestart, haakt WINNKIT aan op de netwerkcommunicatie en wacht op aangepaste opdrachten van de bedreigingsactoren. De binnenkomende opdrachten worden doorgestuurd naar de rootkit door de malware uit de vorige fase die bekend staat als DEPLOYLOG. Door een reflectieve laadinjectie te gebruiken, kan WINNKIT beschadigde modules in het legitieme svchost- proces injecteren, terwijl detectie wordt ontweken. De geactiveerde modules bieden aanvallers een breed scala aan intrusieve functies. Een van hen kan bijvoorbeeld Remote Desktop-toegang tot het gecompromitteerde systeem inschakelen. Ander heeft toegang tot de systeemopdrachtregel. Er zijn ook speciale modules voor het manipuleren van het bestandssysteem, het exfiltreren van gegevens en het doden van gekozen processen op de beoogde machine.