WINNKIT

WINNKITは、中国が支援するAPT（Advanced Persistent Threat）グループWinntiの武器の一部であることが発見された、洗練された非常に回避的な脅威です。 Winntiマルウェアは、何年にもわたって続いたサイバースパイキャンペーンで使用された多段階の感染チェーンの最終的なペイロードとして機能しました。 Winntiは、APT41、Barium、およびBlackflyが、北米、ヨーロッパ、およびアジアに広がるターゲットの内部ネットワークに侵入することに成功したことも追跡しました。

ハッカーは、知的財産や専有データ、図表、青写真などからなる数百ギガバイトの機密情報を入手したと考えられています。操作の完全な感染チェーンと利用されている脅威ツールの詳細は、Cybereasonが発行したレポートで明らかになりました。

WINNKITの脅威は、ルートキット機能を備えたドライバーの形をとります。そのステルスおよび検出回避技術の有効性の証拠は、WINNKITが少なくとも3年間検出されないままになっているという事実です。 Windows Vista 64ビット以降を実行しているWindowsシステムで見られるドライバー署名強制（DSE）メカニズムをバイパスするために、WINNKITには期限切れのBenQデジタル署名が含まれています。

開始された後、WINNKITはネットワーク通信にフックし、脅威アクターからのカスタムコマンドを待ちます。着信コマンドは、 DEPLOYLOGと呼ばれる前段階のマルウェアによってルートキットに中継されます。 WINNKITは、リフレクティブローディングインジェクションを使用することにより、検出を回避しながら、破損したモジュールを正当なsvchostプロセスにインジェクトできます。アクティブ化されたモジュールは、攻撃者にさまざまな侵入機能を提供します。たとえば、そのうちの1つは、侵害されたシステムへのリモートデスクトップアクセスを有効にすることができます。その他は、システムコマンドラインにアクセスできます。また、ファイルシステムを操作し、データを盗み出し、対象のマシンで選択したプロセスを強制終了するための専用モジュールもあります。