Spiele sind out: Winnti greift nun Pharma-Unternehmen an

Lange Zeit wurde die Winnti-Gruppe für einen chinesischen Bedrohungsakteur gehalten, der in erster Linie Game-Unternehmen angreift. Kürzlich haben wir Informationen erhalten, die darauf hinweisen, dass das Zielspektrum ausgeweitet und nicht mehr ausschließlich auf die Unterhaltungsindustrie beschränkt sein könnte. Wir beobachten zwar in der Tat pausenlos Samples der Winnti-Malware, doch bisher konnten wir nicht einen handfesten Anhaltspunkt dafür finden, dass auch andere Branchen angegriffen werden. Doch auch als AV-Anbieter erstreckt sich unser Sichtfeld nicht auf jedes Unternehmen in der Welt (jedenfalls noch nicht ;)) und das Kaspersky Security Network (KSN) hat keine Attacken aufgedeckt, die sich gegen andere Unternehmen als solche aus der Game-Industrie richteten. Manchmal gehörten die angegriffenen Konzerne auch der Telekommunikationsbranche an, oder besser noch, es waren große Holdinggesellschaften, aber immer hatte mindestens einer ihrer Geschäftszweige auf irgendeine Weise mit der Produktion oder mit dem Vertrieb von Computerspielen zu tun.

Im April veröffentlichte Novetta seinen hervorragenden Bericht über die Winnti-Malware, die in den Operationen der Axiom-Gruppe aufgetaucht war. Die Axiom-Gruppe wurde als ein fortschrittlicher chinesischer Bedrohungsakteur präsentiert, der Cyberspionage-Attacken gegen ein weites Spektrum unterschiedlicher Branchen durchführt. Für uns war der Novetta-Report eine weitere Quelle, die belegt, das Winnti bereits jenseits von Online-Games operiert. Eins der kürzlich von uns gefundenen Winnti-Samples scheint diese Annahme ebenfalls zu bestätigen.

Das neue Sample gehört zu einer der Winnti-Versionen, die im Bericht von Novetta beschrieben werden – Winnti 3.0. Das ist eine der Dynamic Link Libraries, aus der sich die RAT-Plattform (Remote Access Trojan) zusammensetzt – die Worker-dll (die im Wesentlichen die RAT DLL ist) mit dem internen Namen w64.dll und den exportierten Funktionen work_end und work_start. Da diese Komponente wie gewöhnlich auf der Festplatte gespeichert ist, wobei die Strings und viele andere Daten in dem PE-Header entfernt/auf Null gestellt wurden, ist es unmöglich das Kompilierungsdatum dieser DLL wiederherzustellen. Aber diese Bibliothek enthält zwei Treiber, die am 22. August und 04. September 2014 kompiliert wurden. Das Sample hat einen verschlüsselten Konfigurationsblock, der im Overlay platziert wurde. Dieser Block kann einen Tag für das Sample enthalten – normalerweise ist das eine ID für die Kampagne oder das Opfer. In diesem Fall haben die Betreiber einen solchen Tag in der Konfiguration platziert und es hat sich herausgestellt, dass es der Name eines sehr bekannten internationalen Pharma-Unternehmens mit Sitz in Europa ist:

winnti_is_now_de

Abb. 1: Konfigurationsblock

Neben dem Sample-Tag enthält der Konfigurationsblock die Namen anderer Dateien, die in die Arbeit der RAT-Plattform verwickelt sind, sowie den Namen des Dienstes (Adobe Service), unter dem die Malware installiert wird. Das Vorhandensein der folgenden Dateien könnte darauf hinweisen, dass das System kompromittiert wurde:

C:WindowsTEMPtmpCCD.tmp
ServiceAdobe.dll
ksadobe.dat

Einer der erwähnten Treiber (ein bekanntes, schädliches Winnti-Netzwerkwerk-Rootkit) wurde mit einem gestohlenen Zertifikat einer Abteilung eines riesigen japanischen Konzerns signiert. Auch wenn sich diese Abteilung mit der Herstellung von Mikroelektronik beschäftigt, gehören zu den anderen Geschäftszweigen des Mischkonzerns auch die Entwicklung und Produktion von Medikament und medizinischer Ausrüstung.

Auch wenn die Art der Beteiligung von Winnti-Betreibern – von denen bisher immer angenommen wurde, dass sie nur für die Online-Gaming-Branche eine Bedrohung darstellen – an den Aktivitäten anderer Cyberspionage-Gruppen nach wie vor recht undurchsichtig ist, sind die Beweise nicht zu leugnen. Wenn von nun an also irgendwo von Winnti die Rede ist, sollte man nicht mehr ausschließlich an Unternehmen aus der Spiele-Branche denken – auch Firmen aus dem Bereich Telekommunikation und große Pharma-Konzerne könnten ins Visier der Angreifer geraten.

Hier die fraglichen Samples:

8e61219b18d36748ce956099277cc29b – Backdoor.Win64.Winnti.gy
5979cf5018c03be2524b87b7dda64a1a – Backdoor.Win64.Winnti.gf
ac9b247691b1036a1cdb4aaf37bea97f – Rootkit.Win64.Winnti.ai

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.