Fini de jouer: Winnti cible désormais les sociétés pharmaceutiques

Pendant longtemps, le groupe Winnti a été considéré comme un auteur de menaces qui visait les éditeurs de jeux en particulier. Récemment, nous avons obtenu des informations qui indiquent que le cercle des victimes s’est élargi et qu’il se limite plus au seul secteur des divertissements. Nous surveillons des échantillons de Winnti en permanence mais jusqu’à présent, nous n’avions pas été en mesure d’en capturer qui aurait pu confirmer à l’aide d’éléments probants que d’autres secteurs d’activité étaient visés. De plus, notre visibilité en tant qu’éditeur ne couvre pas (du moins pas encore ;)) toutes les sociétés au monde et le Kaspersky Security Network (KSN) n’avait détecté aucune attaque autre que celles contre les sociétés de jeux. En fait, il est arrivé que des sociétés de télécommunications ou mieux encore, de grands holdings, figurent parmi les entités ciblées, mais au moins une des activités était en rapport, d’une manière ou d’une autre, avec la production ou la distribution de jeux électroniques.

Au mois d’avril, le groupe Novetta a publié son excellent rapport sur le malware Winnti détecté dans les opérations du groupe Axiom. Le groupe Axiom a été présenté comme un auteur de menaces avancées chinois qui organise des attaques de cyberespionnage contre des entreprises des secteurs les plus divers. Les informations contenues dans le rapport Novetta étaient pour nous une nouvelle indication de l’expansion des activités de Winnti au-delà des jeux en ligne. Un des échantillons récents de Winnti que nous avons découvert semble également confirmer cette tendance.

Le nouvel échantillon appartient à une des versions de Winnti décrite dans le rapport de Novetta : Winnti 3.0. Il s’agit d’une des bibliothèques de liens dynamiques qui composent cette plateforme de Trojan d’accès à distance, la bibliothèque worker (en fait, la DLL du Trojan d’accès à distance) portant le nom interne w64.dll et les fonctions exportées work_end et work_start. Vu que comme d’habitude, ce composant est stocké sur le disque avec les chaînes et la majorité des autres données dans l’en-tête PE supprimées/mises à zéro, il est impossible de récupérer la date de compilation de cette DLL. Mais cette bibliothèque contient deux pilotes compilés le 22 août et le 4 septembre 2014. L’échantillon possède un bloc de configuration chiffré placé en superposition. Ce bloc peut inclure une balise pour l’échantillon, en général, il s’agit d’un identifiant de campagne ou l’identifiant/le nom de la victime. Cette fois-ci, les opérateurs ont placé cette balise dans la configuration et il s’agissait d’une société pharmaceutique internationale bien connue dont le siège principal se situe en Europe:

Ill. 1 Bloc de configuration

Outre la balise d’échantillon, le bloc de configuration contient les noms des autres fichiers impliqués dans le fonctionnement de la plateforme du Trojan d’accès à distance et le nom du service (Adobe Service), après lequel le malware est installé. La présence des fichiers suivants dans un système pourrait indiquer que celui-ci a été compromis:

C:WindowsTEMPtmpCCD.tmp

ServiceAdobe.dll

ksadobe.dat

Un des pilotes mentionnés (un rootkit de réseau Winnti malveillant connu) a été signé à l’aide d’un certificat volé dans une division d’un grand conglomérat japonais. Bien que cette division travaille dans la fabrication de composants microélectroniques, d’autres unités de ce conglomérat sont impliquées dans le développement et la production de médicaments ainsi que de dispositifs médicaux.

La nature de l’implication des opérateurs de Winnti, considérés antérieurement comme une menace uniquement pour le secteur des jeux, dans les activités de cyberespionnages d’autres groupes n’est pas claire, mais les preuves sont là. Désormais, lorsque vous entendrez parler de Winnti, ne pensez pas seulement aux éditeurs de jeux ; pensez également aux sociétés de télécommunications et aux grandes sociétés pharmaceutiques.

Voici les échantillons en question:

8e61219b18d36748ce956099277cc29b – Backdoor.Win64.Winnti.gy
5979cf5018c03be2524b87b7dda64a1a – Backdoor.Win64.Winnti.gf
ac9b247691b1036a1cdb4aaf37bea97f – Rootkit.Win64.Winnti.ai

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *