ΑρχικήSecurityΗ ομάδα APT41/Winnti παραβίασε govt orgs του Χονγκ Κονγκ

Η ομάδα APT41/Winnti παραβίασε govt orgs του Χονγκ Κονγκ

Ερευνητές της Symantec έχουν αποκαλύψει νέες κυβερνοεπιθέσεις που αποδίδονται στον συνδεδεμένο με την Κίνα κατασκοπευτικό παράγοντα APT41 (γνωστό και ως Winnti). Ο απειλητικός παράγοντας APT41 παραβίασε κυβερνητικούς οργανισμούς στο Χονγκ Κονγκ και παρέμεινε σε ορισμένες περιπτώσεις απαρατήρητος για ένα χρόνο.

Δείτε επίσης: Εξαρθρώθηκε εγκληματική ομάδα που χάκαρε αυτοκίνητα χωρίς κλειδί

APT41

Δείτε επίσης: Medibank: Η αυστραλιανή ασφαλιστική εταιρεία επιβεβαιώνει επίθεση ransomware

Η ομάδα APT41 (Winnti) χρησιμοποιεί το προσαρμοσμένο malware που ονομάζεται Spyder Loader, το οποίο είχε αποδοθεί στο παρελθόν στην ομάδα.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 16 Σεπτεμβρίου 2024, 22:01 22:01

Τον Μάιο του 2022, ερευνητές της Cybereason ανακάλυψαν το ‘Operation CuckooBees’, το οποίο βρισκόταν σε εξέλιξη από το 2019 εστιάζοντας σε εταιρείες υψηλής τεχνολογίας και κατασκευής στη Βόρεια Αμερική, την Ανατολική Ασία και τη Δυτική Ευρώπη.

Η έκθεση της Symantec σημειώνει ότι υπάρχουν ενδείξεις ότι η δραστηριότητα που ανακαλύφθηκε πρόσφατα στο Χονγκ Κονγκ αποτελεί μέρος της ίδιας επιχείρησης και οι στόχοι της Winnti είναι κυβερνητικές οντότητες στην ειδική διοικητική περιοχή.

Spyder Loader

Στο Operation CuckooBees, η ομάδα Winnti χρησιμοποίησε μια νέα έκδοση του backdoor Spyder Loader. Η αναφορά της Symantec δείχνει ότι οι χάκερ συνεχίζουν να εξελίσσουν το κακόβουλο λογισμικό, αναπτύσσοντας διάφορες παραλλαγές στους στόχους, όλες με τις ίδιες λειτουργίες.

Μερικές από τις ομοιότητες που εντόπισε η Symantec σε σύγκριση με την έκδοση που αναλύθηκε από την Cybereason περιλαμβάνουν:

  • χρήση της βιβλιοθήκης CryptoPP C++
  • κατάχρηση του rundll32.exe για την εκτέλεση του malware loader
  • compile ως ένα τροποποιημένο αντίγραφο DLL 64-bit του SQLite3 DLL για τη διαχείριση βάσεων δεδομένων SQLite, sqlite3.dll, με κακόβουλο export (sqlite3_extension_init)

Το Spyder Loader που χρησιμοποιείται στο αρχικό στάδιο μόλυνσης φορτώνει blobs κρυπτογραφημένα με AES που δημιουργούν το payload επόμενου σταδίου, “wlbsctrl.dll”.

Δραστηριότητα και στόχοι

Οι αναλυτές της Symantec παρατήρησαν και το deployment του εργαλείου εξαγωγής κωδικών πρόσβασης Mimikatz στις τελευταίες καμπάνιες, επιτρέποντας στον απειλητικό παράγοντα να εισχωρήσει βαθύτερα στο δίκτυο των θυμάτων.

Επιπλέον, οι ερευνητές είδαν «ένα trojanized ZLib DLL που είχε πολλαπλά κακόβουλα exports, το ένα από τα οποία φαινόταν να περιμένει επικοινωνία από έναν command-and-control server, ενώ το άλλο θα φόρτωνε ένα payload από το παρεχόμενο όνομα αρχείου στη γραμμή εντολών

Δείτε επίσης: Malware dev ισχυρίζεται ότι πουλά το νέο bootkit BlackLotus Windows UEFI

Αν και η Symantec δεν μπόρεσε να ανακτήσει το τελικό payload, φαίνεται ότι ο στόχος στην τελευταία καμπάνια της APT41 ήταν να συλλέξει πληροφορίες από βασικές οντότητες στο Χονγκ Κονγκ.

Η Symantec αναμένει από τη Winnti να συνεχίσει να εξελίσσει την εργαλειοθήκη κακόβουλου λογισμικού της και να εισάγει νέα payload, καθώς και να προσθέτει περισσότερα επίπεδα obfuscation όπου είναι δυνατόν.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS