Контакты
Подписка
МЕНЮ
Контакты
Подписка

Стали известны подробности деятельности китайской хакерской группировки Winnti

Стали известны подробности деятельности китайской хакерской группировки Winnti

Стали известны подробности деятельности китайской хакерской группировки Winnti


07.05.2018



Китайские киберпреступники осваивают новые тактики, сосредоточившись на взломе систем сотрудников IT-инфраструктуры, осуществлении фишинговых кампаний, а также сборе цифровых сертификатов для последующей подготовки атак на цепочку поставок взломанных компаний. Об этом сообщила команда исследователей кибербезопасности 401TRG из компании ProtectWise.

 Эксперты проанализировали тактику, методы и процедуры, используемые на протяжении многих лет хакерской группировкой Winnti, также известной под названиями Axiom и APT 17.

 Как заявили исследователи, множество подозреваемых в кибершпионаже в пользу китайских разведслужб хакерских группировок, таких как BARIUM, Wicked Panda, GREF и PassCV, со временем начали использовать методы и инфраструктуру Winnti. На основе этих наблюдений исследователи объединили их под общим названием Winnti Umbrella.

 "Тактика, инфраструктура и инструменты совпадают с другими китайскоязычными группами хакеров, позволяя предположить, что китайская разведка разделяет человеческие и технологические ресурсы между группировками", - заявили эксперты.

 В настоящее время часть группировок из Winnti Umbrella действует по одной и той же схемой. В первую очередь, злоумышленники предпочитают осуществлять фишинговые атаки на отдельные цели для хищения учетных данных, которые позволяют злоумышленникам проникнуть в систему с помощью чужой учетной записи, а не вредоносного ПО. Затем атакующие используют технику под названием "living off the land", представляющую собой использование локальных приложений во вредоносных целях. Использующиеся в данных атаках инструменты включают стандартные утилиты Windows, а также программы для тестирования на проникновение, такие как Metasploit и Cobalt Strike. При этом вредоносные программы используются только в случае реальной необходимости, поскольку злоумышленники опасаются обнаружения.

 В 2018 году тактика претерпела небольшие изменения и атакующие сосредоточили свои усилия прежде всего на взломе учетных записей Gmail и Office 365.

 "В ходе атак злоумышленники часто похищают цифровые сертификаты, исходный код и внутреннюю технологическую документацию. Они также могут попытаться манипулировать виртуальной экономикой для получения финансовой выгоды. Предположительно, деньги являются вторичной целью и могут быть связаны с личными интересами лиц, стоящих за атаками", - добавили исследователи.

 Хищение сертификатов может говорить о том, что Winnti Umbrella собирают ресурсы и планируют атаки на цепочки поставок для заражения официального программного обеспечения вредоносным ПО.

 

Securitylab