Von Schweinen und Schadsoftware: Recherche zu einem möglichen Winnti-Mitglied

Originalartikel vom Cyber Safety Solutions Team

Die Art und Weise, wie die als Winnti bekannten Bedrohungsakteure GitHub für die Verteilung von Schadsoftware nutzten, zeigt, wie sich die Gruppe weiter entwickelt und neue Methoden ins Repertoire ihrer gezielten Angriffe aufnimmt. Die Recherche über eine bestimmte Einzelperson, die möglicherweise Verbindung zur Winnti-Gruppe hat, gibt einen besseren Einblick in einige der Tools, und vor allem in die Serverinfrastrukturen, die die Akteure nutzen.

Suche nach Hinweisen in den Domänen-Registrierungen

Bedrohungsakteure verwenden typischerweise mehrere Domänen, um ihre Schadsoftware unauffällig an ihre Command-and-Control (C&C)-Server zu leiten. Die Registrierung eines Domänennamens erfordert immer die Angabe gewisser Identifizierungsinformationen: eine physische oder Mailing-Adresse, eine Mail-Adresse und Telefonnummer. Am wichtigsten dabei ist die gültige Mail-Adresse, denn an diese sendet der Registrar die Bestätigung des Erwerbs einer Domäne und auch die Informationen, die der Käufer für die Kontrolle der Domäne benötigt.

Die meisten Betrüger erstellen eine einmalige Mail-Adresse oder nutzen gestohlene Adressen. Doch wird es mit der Zeit mühsam, bei der Registrierung neuer Domänen immer wieder die Informationen zu ändern. Dies ist der Punkt, an dem die Betrüger anfangen Fehler zu machen und Mail-Adressen wiederzuverwenden.

Die sorgfältige Analyse von 2014 bis 2015 der Domänenregistrierung dieses einen Bedrohungsakteurs ermöglichte es den Sicherheitsforschern von Trend Micro ein von ihm genutztes Profil auszumachen, mit dem er einige Domänen registriert hatte. Diese Domänen wurden als C&C-Server für eine bestimmte Schadsoftware-Familie durch die Winnti-Gruppe genutzt. Die Forscher konnten Einzelheiten über eine Person mit dem Decknamen Hack520 sammeln. Sie gehen davon aus, dass Hack520 Verbindung zu Winnti hat.

Die Winnti-Gruppe

Die Gruppe hinter der Winnti Malware entstand als Vereinigung traditioneller Cyber-Betrüger, von denen einige ihr technisches Können für Finanzbetrug nutzten. Auf der Grundlage der Nutzung von Domänenamen, die sie registrierten, stieg die Gruppe 2007 ins Geschäft der gefälschten/betrügerischen Antivirus-Produkte ein. 2009 wechselten die Kriminellen auf Angriffe gegen Spieleunternehmen in Südkorea. Die Gruppe ist finanziell motiviert und nutzt professionell selbst entwickelte Tools in ihren Angriffen. Zu den anvisierten Zielgruppen gehören neben Gaming auch die Pharmaindustrie und Telekommunikation. Weitere Einzelheiten zu Winnti liefert der Originalbeitrag.

Im Zuge der Recherche zur Winnti-Gruppe fanden die Sicherheitsforscher bis dahin nicht veröffentlichte Malware Samples, die der Gruppe anhand der registrierten Domänen und des Malware-Arsenals zuzuordnen waren. Dies führte auch zur Entdeckung von zusätzlichen C&C-Servern, die mehr Informationen lieferten, als ursprünglich erhofft.

Hack520

Die anfängliche Recherche zu von Hack520 registrierten Domänen zeigte, dass ähnliche Domänen von einem weiteren Profil registriert worden waren:

  • hack520[.]co[.]kr
  • shaiya[.]kr
  • zhu[.]kr
  • shenqi[.]kr
  • zhuxian[.]kr

Einige dieser Domänen sind mit Schadsoftwarevarianten verbunden, die von Winnti eingesetzt wurden. Erstaunlicherweise dauert es nicht sehr lang, um Informationen zu Hack520 herauszufinden: Jemand betreibt unter diesem Decknamen eine Blog und ein Twitter-Konto, das direkt mit dem Blog verbunden ist.

Bild 1: Twitter-Konto von Hack520

Hack520 scheint Schweine zu mögen, das zeigt das Wort “pig” in seiner Mail-Adresse, aber auch weitere Details (siehe Originalbeitrag).

Nach weiterer Recherche konnten die Sicherheitsforscher Hack520 verschiedenen Netzwerkadmin-Aktivitäten zuordnen, vor allem einem Virtual Private Server (VPS)-Hosting Service. Die Art, wie Hack520 seine Nachrichten in einem Hackerforum unterschreibt, gibt Hinweise auf eine solche Verbindung. Die Hack520 gehörenden IP-Adressen umfassen eine Bandbreite von 22 IP, die Trend Micro “PIG RANGE” genannt hat. Die IP-Palette für “PIG GOD” ist 43[.]255[.]188.0/22 und scheint in Hongkong gehostet zu werden:

  • inetnum: 43[.]255[.]188[.]0 – 43[.]255[.]190[.]255
  • netname: PIG-HK
  • description: PIG GOD
  • country: HK
  • admin-c: PG406-AP
  • tech-c: PG406-AP
  • person: pig god
  • country: HK
  • phone: +852-39437000
  • e-mail: admin@66[.]to
  • nic-hdl: PG406-AP
  • mnt-by: MAINT-RAIBOW-HK
  • changed: admin@66[.]to 20160917
  • source: APNIC

Es war auch möglich, zusätzliche Verbindungen zwischen Hack520s „Pig Network” und den Aktivitäten von Winnti auszumachen. Dazu gehört das Hosting von C&C-Domänen und ein Live-Service für das Angebot von VPS-Hosting unter secure[.]66[.]to.

Die Forscher fanden etwa 500 Domänennamen, die von 2015 bis März 2017 zum “Pig Network” führten oder geführt hatten. Die meisten scheinen illegale Inhalte wie Pornografie oder Online-Gambling enthalten zu haben. Möglicherweise wurde das „Pig network“ als Bulletproof Hosting Service für Cyberkriminelle eingesetzt, auch wenn diese keine Verbindung zu Winnti hatten.

Fazit

Bedrohungsakteure wie die Winnti-Gruppe bleiben nur selten bei den gleichen Tools und Taktiken. Wie bereits in den Vorhersagen für 2017 erläutert, entwickeln sich diese Gruppen stetig weiter und verwenden einzigartige, fortgeschrittene Angriffstechniken. Auch zeigen Einzelpersonen wie Hack520, dass die Zusammensetzung einer Gruppe sehr unterschiedlich ist und die Individuen jeweils eigenes Können mitbringen.

Bedrohungsakteure suchen immer, ihre Strategien zu erweitern, sodass Sicherheitspraktiken und -lösungen, die gegen weniger gut organisierte Cyberkriminelle funktionieren, im Fall von zielgerichteten Gruppen mit genügend Ressourcen und Ausdauer beim Verfolgen ihrer Ziele nicht so gut wirken. Deshalb muss jedes Unternehmen in punkto Sicherheit proaktiv agieren und ein Sicherheitsbewusstsein aufbauen und die richtigen Lösungen einsetzen, um sich jeden böswilige Taktiken und Bedrohungen zu schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*