WINNKIT

WINNKIT — это сложная и чрезвычайно уклончивая угроза, которая, как было обнаружено, является частью арсенала поддерживаемой Китаем группы APT (Advanced Persistent Threat) Winnti . Вредоносное ПО Winnti выступало в качестве последней полезной нагрузки в многоэтапной цепочке заражения, используемой в кампании кибершпионажа, которая продолжалась годами. Winnti также отследила, как APT41, Barium и Blackfly удалось проникнуть во внутренние сети целей, разбросанных по Северной Америке, Европе и Азии.

Предполагается, что хакеры получили сотни гигабайт конфиденциальной информации, состоящей из интеллектуальной собственности и частных данных, диаграмм, чертежей и многого другого. Подробности о полной цепочке заражения операции и использованных инструментах угроз были раскрыты в отчете, опубликованном Cybereason.

Угроза WINNKIT представляет собой драйвер с возможностями руткита. Свидетельством эффективности его методов скрытности и обнаружения-уклонения является тот факт, что WINNKIT удалось оставаться незамеченным в течение как минимум 3 лет. Чтобы обойти механизм проверки подписи драйверов (DSE), используемый в системах Windows с 64-разрядной версией Windows Vista и более поздних версий, WINNKIT содержит цифровую подпись BenQ с истекшим сроком действия.

После запуска WINNKIT подключается к сетевому соединению и ожидает пользовательских команд от злоумышленников. Входящие команды передаются руткиту вредоносной программой предыдущей стадии, известной как DEPLOYLOG. Используя внедрение рефлексивной загрузки, WINNKIT может внедрять поврежденные модули в законный процесс svchost , избегая при этом обнаружения. Активированные модули предоставляют злоумышленникам широкий спектр навязчивых функций. Например, один из них может разрешить доступ удаленного рабочего стола к скомпрометированной системе. Другой способен получить доступ к системной командной строке. Существуют также специальные модули для манипулирования файловой системой, эксфильтрации данных и уничтожения выбранных процессов на целевой машине.