ЛК: Winnti Group осуществляет атаки на компании в Южной Корее, Британии и России

image

Теги: хакеры, вредонос, инфицирование, шпионаж

В ходе атак злоумышленники используют вредоносное ПО образца 2006 года.

Эксперты «Лаборатории Касперского», отслеживающие активность группировки Winnti Group, зафиксировали новые атаки, нацеленные на организации в Южной Корее, Великобритании и России. Как выяснили специалисты, в ходе атак злоумышленники используют вредоносное ПО образца 2006 года, получившее название HDRoot. Вредонос инфицирует компьютер жертвы и может быть использован для запуска других угроз в операционной системе.

По мнению исследователей, авторы вредоносной программы, разработанной в 2006 году, впоследствии сами стали участниками Winnti. Специализацией группировки является осуществление кампаний по кибершпионажу, нацеленных на производителей программного обеспечения, особенно в области компьютерных online-игр. В последнее время Winnti расширила список целевых компаний, который теперь включает фармацевтические и телекоммуникационные предприятия. В июне этого года группировка была уличена в шпионаже, предположительно в пользу правительства КНР.

По словам специалистов, исполняемый файл вредоноса замаскирован под Microsoft Net Command net.exe, вероятно, для того, чтобы снизить риск обнаружения системными администраторами. Код защищен от анализа с помощью программы VMProtect, подписанной скомпрометированным сертификатом, принадлежащим китайской компании.

Исследователям удалось идентифицировать два типа бэкдоров, запускаемых HDRoot, но не исключено, что их может быть больше. Один из них способен обходить южнокорейские средства антивирусной защиты, что свидетельствует о повышенной активности злоумышленников именно в этом регионе. Также жертвами группировки становились компании в Японии, Китае, Бангладеш и Индонезии, а также британское и российское предприятия. Причем последние уже не раз подвергались атакам со стороны Winnti.

По словам антивирусного эксперта «ЛК» Дмитрия Тараканова, злоумышленникам отлично известно, на что системные администраторы обращают внимание при анализе подозрительных файлов. Им приходится отслеживать достаточно многое, и если штат IT-специалистов в компании невелик, шансы на то, что преступная активность останется незамеченной, возрастают в несколько раз.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.