APT 组织 Winnti 自 2024 年 3 月起针对日本目标

2024 年 3 月，网络安全公司 LAC 的研究人员发现由APT组织 Winnti 实施的一项新的网络间谍活动，被追踪为 RevivalStone。威胁组织针对制造业、材料和能源领域的日本公司，并使用了增强版的“Winnti 恶意软件”。

该 APT 组织于 2013 年首次被卡巴斯基发现，但据研究人员称，该团伙自 2007 年起就已活跃。

Winnti 组织的其他命名，包括Winnti、Gref、PlayfullDragon、APT17、DeputyDog、Axiom、BARIUM、LEAD、PassCV、Wicked Panda 和 ShadowPad。

LAC 指出，RevivalStone 活动中使用的 Winnti 恶意软件支持新的逃避技术。

攻击链首先利用 ERP 系统中的 SQL 注入部署 WebShell，然后攻击者进行侦察并安装 Winnti 恶意软件。威胁组织入侵了运维公司的共享账户以进行横向移动，破坏了基础设施网络并影响了多个组织。

Winnti在这次活动中使用了多个 WebShell，包括“China chopper”、“Behinder”和“sqlmap file uploader”。

新的 Winnti 恶意软件通过 SessionEnv 服务持续存在，从而启动一个多步骤的执行过程。它利用 DLL 劫持来加载 Winnti Loader，后者解密并执行 Winnti RAT。然后，RAT 部署 Winnti Rootkit，后者拦截 TCPIP 通信并等待外部 C2 命令来执行恶意操作。

Winnti Loader（也称为 PRIVATELOG）将 Winnti RAT 加载到内存中，支持通过基于跳转的控制流平坦化 (CFF) 进行代码混淆。该恶意软件还使用 XOR 和 ChaCha20 加密来混淆特征字符串，进一步使检测和逆向工程变得复杂。

为了避免被 EDR 产品检测到，Winnti Loader 会将其运行所需的合法 DLL 文件复制并加载到 System32 文件夹中。这种逃避检测的功能也应用于“UNAPIMON”恶意软件，它是下文描述的 Winnti 恶意软件的组件之一。

此外，在复制文件时，Winnti Loader 会将文件名更改为由下划线和 5-9 个字母组成的文件名（例如“_syFig.dll”或“_TcsTgyqmk.dll”）。用于确定随机字符串中字符数的代码，其中将 5 到 9 之间的数字分配给变量 v1。然后，Winnti Loader 会动态加载复制的库，并在加载完成后删除复制的文件。

LAC 在 RevivalStone 活动中发现了对 TreadStone 和 StoneV5 的提及。TreadStone 是一个 Winnti 恶意软件控制器，去年的I-Soon泄漏事件中也发现了与 Linux 恶意软件控制面板相关的内容。

TreadStone 是 Winnti 恶意软件控制器，在泄露的 i-Soon 数据中被称为 Linux 恶意软件控制器。StoneV5 可能表示 Winnti 版本 5.0。

报告原文（日文）：

https://www.lac.co.jp/lacwatch/report/20250213_004283.html

新闻链接：

https://securityaffairs.com/174353/apt/china-linked-apt-group-winnti-targets-japanese-orgs.html