首页保安中国Winnti APT针对俄罗斯和其他国家/地区的组织!

中国Winnti APT针对俄罗斯和其他国家/地区的组织!

安全研究员 积极的技术 透露了中国APT进行的一系列攻击 黑客 组,定位到以下组织 俄罗斯 和香港。 专家将其归因于 攻击 在Winnti APT组(也称为APT41)中,该组与 中国,并报告说攻击者使用了一个旧的 后门 在他们的攻击中尚未被发现。

Winnti团队于2013年首次被卡巴斯基发现,但据研究人员称,自2007年以来一直活跃。专家们认为Winnti由许多其他APT团队组成,例如 Winnti,Gref,PlayfullDragon,APT17,代理狗,Axiom,钡,LEAD,PassCV,邪恶熊猫,72组,Blackfly和ShadowPad. APT团队针对航空,赌博,制药,技术,电信和发展等多个行业的组织 软件.

中国Winnti APT针对俄罗斯和其他国家/地区的组织!

由Positive Technologies发现的最近攻击是在12年2020月XNUMX日首次发现的,当时专家们发现了几个新样本。 恶意软件 最初被错误地归因于Higaisa黑客。 在调查攻击时,专家发现了攻击者使用的许多新恶意软件样本,其中包括各种丢弃程序,装载程序和注入程序。 攻击者还使用了Crosswalk,ShadowPad和PlugX后门,但是安全研究人员还观察到了一个未指定的后门样本,称为“ FunnySwitch”。

在第一次攻击中,黑客使用LNK快捷方式提取并执行恶意软件 有效载荷,而在30月XNUMX日检测到的第二次攻击中,他们使用了一个恶意文件(CV_Colliers.rar),其中包含指向两个文档的快捷方式 PDF 带有CV证书和雅思的“诱饵”。

Winnti团队专注于计算机游戏行业,此前曾瞄准游戏开发人员,最近又在同一行业中“打”俄罗斯公司。 最近的攻击目标包括来自圣彼得堡的Unity3D游戏开发商Battlestate Games。

中国Winnti APT针对俄罗斯和其他国家/地区的组织!

2月,研究人员在活动CXNUMX之一上放置了活动HttpFileServer。 服务器。 HFS包含电子邮件图标,带有俄语文本的游戏的屏幕截图,游戏开发公司网站的屏幕截图以及其网站上的CVE-2020-0796漏洞信息的屏幕截图 微软。 这些文件在两个月后(即20年2020月XNUMX日)被使用,这些攻击还使用了一个独立的加载程序来加载Cobalt Strike Beacon PL shellcode。

这一发现使专家们相信,他们已经找到了准备并随后成功实施对Battlestate Games进行攻击的痕迹。

Winnti继续瞄准俄罗斯和其他国家/地区的游戏开发商和发行商。 小型工作室往往忽略了信息安全性,这使其容易受到攻击。 对软件开发人员的攻击在暴露最终用户时尤其危险,就像在CCleaner和ASUS的知名案例中已经发生的那样。 通过确保及早发现和调查违规行为,公司可以避免成为此类情况的受害者。

发表评论

请输入您发表评论!
请在此输入你的名字

Pohackontas
Pohackontashttps://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻