中国黑客从跨国公司窃取知识产权被抓获

至少自 2019 年以来，由中国支持的 Winnti 集团精心策划的一场难以捉摸且复杂的网络间谍活动已经成功地躲过了人们的关注。

配音“CuckooBees 行动“由以色列网络安全公司Cybereason实施的大规模知识产权盗窃行动使威胁行为人能够过滤数百GB的信息。

目标包括主要位于东亚、西欧和北美的技术和制造公司。

研究人员说：“攻击者的目标是受害者开发的知识产权，包括敏感文件、蓝图、图表、公式和与制造相关的专有数据”。

“此外，攻击者还收集了可能用于未来网络攻击的信息，例如有关目标公司业务部门、网络架构、用户帐户和凭据、员工电子邮件和客户数据的详细信息”。

Winnti也被其他网络安全供应商以APT41、Axiom、Bathor和Brown Atlas的名义追踪，至少从2007年起就开始活跃。

Secureworks在该行为人的威胁简介中指出：“该集团的意图是盗窃发达经济体组织的知识产权，并有适度的信心认为这是代表中国支持中国一系列经济部门的决策”。

Cybereason记录的多阶段感染链涉及利用面向互联网的服务器部署网络外壳，目的是进行侦察、横向移动和数据过滤活动。

它既复杂又复杂，遵循一种“纸牌屋”的方法，即killchain的每个组件都依赖于其他模块来运行，这使得分析变得极其困难。

研究人员解释说：“这表明了恶意软件和操作安全考虑因素中的思想和努力，因此，除非所有拼图都按正确的顺序组装，否则几乎不可能进行分析”。

数据采集通过称为Spyder的模块化加载程序来实现，该加载程序用于解密和加载额外的有效载荷。还使用了四种不同的有效载荷，StathLog、SPARKLOG、PRIVATELOG和DEPLOYLOG，它们被顺序部署以丢弃WINNKIT，这是一个内核级的rootkit。

对这场活动的隐蔽性至关重要的是使用“罕见”技术，例如滥用Windows通用日志文件系统（CLFS）机制来隐藏有效载荷，使黑客集团能够隐藏其有效载荷并逃避传统安全产品的检测。

有趣的是，Mandiant之前在2021 9月详细描述了部分攻击序列，同时指出了滥用CLF隐藏第二阶段有效载荷以规避检测的情况。

这家网络安全公司将该恶意软件归咎于一名身份不明的参与者，但警告称，它可能是作为一项高度针对性活动的一部分部署的。

Mandiant当时表示：“由于文件格式没有得到广泛使用或记录，因此没有可用的工具可以解析CLFS日志文件”。“这使攻击者有机会以方便的方式将其数据隐藏为日志记录，因为这些数据可以通过API函数访问”。

WINNKIT的编译时间戳为2019年5月，在VirusTotal中的检测率几乎为零，突出了恶意软件的规避性质，使得作者多年来一直未被发现。

研究人员评估，入侵的最终目标是窃取各种技术的专有信息、研究文档、源代码和蓝图。

Cybereason表示：“Winnti是代表中国国家利益集团运作的最勤勉的集团之。“威胁[行为体]采用了一条精心设计的多阶段感染链，这对该群体长期不被发现至关重要”。