黑客组织Winnti新动向，复兴石 行动剑指日本关键产业

黑客组织Winnti被指与一项名为“复兴石”的新行动有关，该行动于2024年3月针对日本制造业、材料和能源领域的公司。

据日本网络安全公司LAC详细介绍，此次活动与Trend Micro追踪的名为Earth Freybug的威胁集群重叠，该集群被Cybereason评估为APT41网络间谍组织的一个子集，并被Symantec称为“黑蝇”。

APT41被描述为一个技术高超、行事有条不紊的行为体，既能发动间谍攻击，又能破坏供应链。其行动往往设计隐蔽，利用一系列战术，通过定制工具集实现目标，该工具集不仅能绕过环境中安装的安全软件，还能收集关键信息并建立隐蔽通道，实现持久远程访问。

Winnti自2012年至少就已开始活跃，截至2022年，其主要针对亚洲的制造业和材料相关组织。2023年11月至2024年10月期间，针对亚太地区的最新行动利用IBM Lotus Domino等面向公众的应用程序中的漏洞来部署恶意软件，具体如下：

• DEATHLOTUS：一个支持文件创建和命令执行的被动CGI后门
• UNAPIMON：用C++编写的防御逃避工具
• PRIVATELOG：用于释放Winnti远程访问工具（又称DEPLOYLOG）的加载程序，该工具通过rootkit安装程序交付名为WINNKIT的内核级rootkit
• CUNNINGPIGEON：一个使用Microsoft Graph API从邮件消息中获取命令（文件和进程管理以及自定义代理）的后门
• WINDJAMMER：一个具有拦截TCPIP网络接口以及与内网中受感染端点建立隐蔽通道能力的rootkit
• SHADOWGAZE：一个重用IIS Web服务器监听端口的被动后门

LAC记录的最新攻击链利用某企业资源规划（ERP）系统中的SQL注入漏洞，在被攻陷的服务器上投放Chopper和Behinder（又称Bingxia和IceScorpion）等Web Shell，利用这些访问权限进行侦察、收集凭证以进行横向移动，并交付改进版的Winnti恶意软件。

据报道，此次入侵还进一步扩展到利用共享账户攻破一家托管服务提供商（MSP），随后利用该公司的基础设施将恶意软件进一步传播给其他三家组织。

LAC表示，在“复兴石”行动中，还发现了与TreadStone和StoneV5相关的内容。其中，TreadStone是一个与Winnti恶意软件配合使用的控制器，去年也出现在与Linux恶意软件控制面板相关的I-Soon（又称安讯）泄露中。

此消息披露之际，Fortinet FortiGuard Labs详细介绍了自2024年11月以来，一个名为SSHDInjector的基于Linux的攻击套件，该套件通过向网络设备的SSH守护进程注入恶意软件，以实现持久访问和隐蔽行动。

该恶意软件套件与另一个被称为Daggerfly（又称Bronze Highland和Evasive Panda）的黑客组织有关，旨在窃取数据，监听来自远程服务器的指令，以枚举正在运行的进程和服务，执行文件操作，启动终端并执行终端命令。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://thehackernews.com/2025/02/winnti-apt41-targets-japanese-firms-in.html

    更多网络安全视频，请关注视频号“知道创宇404实验室”