Gli analisti del gruppo Cybereason hanno scoperto un’operazione di hacking, nota come Operation CuckooBees, attiva dal 2019 e mai rilevata in precedenza. La campagna ha colpito aziende tecnologiche e industriali in Asia orientale, Europa occidentale e Nord America attraverso un malware specifico e lo sfruttamento di vulnerabilità note e di tipo zero-day nelle piattaforme ERP utilizzate dalle vittime.

Il gruppo responsabile degli attacchi è di origine cinese e si fa chiamare Winnty o APT41, caratterizzato da una grande capacità di mimetizzazione e dal presunto supporto ufficiale della Cina. Nel corso degli ultimi tre anni, il gruppo avrebbe ottenuto risorse relative alle proprietà intellettuali, come brevetti, diritti d’autore, marchi commerciali e altri dati aziendali, agendo del tutto indisturbato. Non è noto l’impatto economico delle azioni del gruppo, ma i ricercatori ritengono che si tratti di una delle operazioni più dannose degli ultimi anni.

Tramite una WebShell codificata e l’uso del protocollo WinRM per l’accesso remoto, Winnty sfrutta i servizi di Windows IKEEXT e PrintNotify per il sideloading di file DLL o per il caricamento di un rootkit kernel con firma. Una volta ottenuto l’accesso alla rete, gli hacker procedono ad analizzare il sistema tramite comandi standard di Windows come “systeminfo” e altri, una scelta molto ingegnosa, dato che queste operazioni non generano avvisi di sicurezza nemmeno se eseguite in batch.

Come dei veri ninja, gli hacker di Winnti sfruttano tecniche e programmi in grado di mimetizzarsi perfettamente nel sistema, come una versione a riga di comando di WinRar per l’esfiltrazione dei dati e un malware noto come “DEPLOYLOG” che, insieme all’uso di Windows CLFS, consente di rendere invisibile l’uso dei payload del gruppo, il rootkit WINNKIT.

WINNKIT è molto sofisticato e contiene una firma digitale BenQ scaduta che viene utilizzata per bypassare la verifica della firma con DSE, successivamente il rootkit consente di prendere il controllo delle comunicazioni di rete e ricevere comandi tramite DEPLOYLOG.

Il gruppo è ancora molto attivo, nonostante alcuni dei suoi membri siano stati individuati dalle forze dell’ordine, pertanto la minaccia è ancora concreta. Le aziende che potrebbero essere colpite da attacchi di questo tipo devono assicurarsi di aggiornare gli antivirus e monitorare con attenzione il traffico rete, possibilmente utilizzando la segmentazione. Cybereason ha approfondito la questione in questo post del blog ufficiale.