Ερευνητές ασφαλείας της Positive Technologies αποκάλυψαν μια σειρά επιθέσεων που διεξήχθησαν από μία Κινεζική APT hacking ομάδα, με στόχο οργανισμούς στη Ρωσία και το Χονγκ Κονγκ. Οι ειδικοί αποδίδουν τις επιθέσεις στην ομάδα Winnti APT (γνωστή και ως APT41), που συνδέεται με την Κίνα, και ανέφεραν ότι οι επιτιθέμενοι χρησιμοποίησαν ένα παλιό backdoor που δεν είχε προσδιοριστεί, στις επιθέσεις τους.
Η ομάδα Winnti εντοπίστηκε για πρώτη φορά από την Kaspersky το 2013 αλλά, σύμφωνα με τους ερευνητές, δραστηριοποιείται από το 2007. Οι ειδικοί πιστεύουν ότι η Winnti αποτελείται κι από πολλές άλλες APT ομάδες, όπως οι Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, Group 72, Blackfly και ShadowPad. Η APT ομάδα στοχεύει οργανισμούς διαφόρων κλάδων, συμπεριλαμβανομένων της αεροπορίας, των τυχερών παιχνιδιών, των φαρμακευτικών προϊόντων, της τεχνολογίας, των τηλεπικοινωνιών και της ανάπτυξης software.
Οι πρόσφατες επιθέσεις που ανακαλύφθηκαν από την Positive Technologies, εντοπίστηκαν για πρώτη φορά στις 12 Μαΐου 2020, τη στιγμή που οι ειδικοί εντόπισαν αρκετά δείγματα του νέου malware που είχαν αρχικά εσφαλμένα αποδοθεί στους χάκερς της Higaisa. Ερευνώντας την επίθεση, οι ειδικοί ανακάλυψαν μια σειρά από νέα δείγματα malware που χρησιμοποίησαν οι επιτιθέμενοι, συμπεριλαμβανομένων διαφόρων droppers, φορτωτών και εγχυτήρων. Οι επιτιθέμενοι χρησιμοποίησαν επίσης τα Crosswalk, ShadowPad και PlugX backdoors, αλλά οι ερευνητές ασφαλείας παρατήρησαν επίσης ένα δείγμα ενός μη προσδιορισμένου backdoor που ονόμασαν “FunnySwitch”.
Στην πρώτη επίθεση, οι χάκερς χρησιμοποίησαν συντομεύσεις LNK για εξαγωγή και εκτέλεση του malware payload, ενώ στη δεύτερη επίθεση που εντοπίστηκε στις 30 Μαΐου, χρησιμοποίησαν ένα κακόβουλο αρχείο (CV_Colliers.rar) που περιέχει τις συντομεύσεις σε δύο έγγραφα PDF «δολώματος» με πιστοποιητικό βιογραφικού και IELTS.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Ο ομάδα Winnti επικεντρώνεται στη βιομηχανία παιχνιδιών υπολογιστών, έχοντας στοχεύσει στο παρελθόν προγραμματιστές παιχνιδιών, ενώ πρόσφατα «χτύπησε» Ρωσικές εταιρείες στον ίδιο κλάδο. Στους στόχους των πρόσφατων επιθέσεων περιλαμβάνεται η Battlestate Games, ένας προγραμματιστής παιχνιδιών Unity3D από την Αγία Πετρούπολη.
Τον Ιούνιο, οι ερευνητές εντόπισαν έναν ενεργό HttpFileServer σε έναν από τους ενεργούς C2 servers. Το HFS περιείχε ένα εικονίδιο email, screenshot από ένα παιχνίδι με ρωσικό κείμενο, screenshot του ιστότοπου μιας εταιρείας ανάπτυξης παιχνιδιών και screenshot πληροφοριών σχετικά με την ευπάθεια CVE-2020-0796 από τον ιστότοπο της Microsoft. Τα αρχεία χρησιμοποιήθηκαν δύο μήνες αργότερα, στις 20 Αυγούστου 2020, σε επιθέσεις που αξιοποίησαν επίσης έναν αυτόνομο φορτωτή για το Cobalt Strike Beacon PL shellcode.
Η ανακάλυψη οδήγησε τους εμπειρογνώμονες να πιστέψουν ότι εντόπισαν ίχνη προετοιμασίας και, στη συνέχεια, επιτυχημένης εφαρμογής, επίθεσης εναντίον της Battlestate Games.
Η Winnti συνεχίζει να στοχεύει προγραμματιστές και εκδότες παιχνιδιών στη Ρωσία και αλλά και σε άλλες χώρες. Τα μικρά στούντιο τείνουν να παραμελούν την ασφάλεια των πληροφοριών, γεγονός που τα καθιστά ευάλωτα σε επιθέσεις. Οι επιθέσεις σε προγραμματιστές software είναι ιδιαίτερα επικίνδυνες καθώς εκθέτουν τους τελικούς χρήστες, όπως έχει ήδη συμβεί στις γνωστές περιπτώσεις των CCleaner και ASUS. Με την εξασφάλιση έγκαιρης ανίχνευσης και διερεύνησης παραβιάσεων, οι εταιρείες μπορούν να αποφύγουν να πέσουν θύματα ενός τέτοιου σεναρίου.