События

Стали известны подробности деятельности китайской хакерской группировки Winnti

Китайские киберпреступники осваивают новые тактики, сосредоточившись на взломе систем сотрудников IT-инфраструктуры, осуществлении фишинговых кампаний, а также сборе цифровых сертификатов для последующей подготовки атак на цепочку поставок взломанных компаний. Об этом сообщила команда исследователей кибербезопасности 401TRG из компании ProtectWise.

Эксперты проанализировали тактику, методы и процедуры, используемые на протяжении многих лет хакерской группировкой Winnti, также известной под названиями Axiom и APT 17.

Как заявили исследователи, множество подозреваемых в кибершпионаже в пользу китайских разведслужб хакерских группировок, таких как BARIUM, Wicked Panda, GREF и PassCV, со временем начали использовать методы и инфраструктуру Winnti. На основе этих наблюдений исследователи объединили их под общим названием Winnti Umbrella.

«Тактика, инфраструктура и инструменты совпадают с другими китайскоязычными группами хакеров, позволяя предположить, что китайская разведка разделяет человеческие и технологические ресурсы между группировками», - заявили эксперты.

В настоящее время часть группировок из Winnti Umbrella действует по одной и той же схемой. В первую очередь, злоумышленники предпочитают осуществлять фишинговые атаки на отдельные цели для хищения учетных данных, которые позволяют злоумышленникам проникнуть в систему с помощью чужой учетной записи, а не вредоносного ПО. Затем атакующие используют технику под названием «living off the land», представляющую собой использование локальных приложений во вредоносных целях. Использующиеся в данных атаках инструменты включают стандартные утилиты Windows, а также программы для тестирования на проникновение, такие как Metasploit и Cobalt Strike. При этом вредоносные программы используются только в случае реальной необходимости, поскольку злоумышленники опасаются обнаружения.

В 2018 году тактика претерпела небольшие изменения и атакующие сосредоточили свои усилия прежде всего на взломе учетных записей Gmail и Office 365.

«В ходе атак злоумышленники часто похищают цифровые сертификаты, исходный код и внутреннюю технологическую документацию. Они также могут попытаться манипулировать виртуальной экономикой для получения финансовой выгоды. Предположительно, деньги являются вторичной целью и могут быть связаны с личными интересами лиц, стоящих за атаками», - добавили исследователи.

Хищение сертификатов может говорить о том, что Winnti Umbrella собирают ресурсы и планируют атаки на цепочки поставок для заражения официального программного обеспечения вредоносным ПО.

Источник

Автор: Сергей Куприянов
7.05.2018 (11:20)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.