ESET: Επιθέσεις σε πανεπιστήμια του Χονγκ Κονγκ από την Winnti

NEWSROOM
ESET: Επιθέσεις σε πανεπιστήμια του Χονγκ Κονγκ από την Winnti
Φώτο: Shutterstock

Οι ερευνητές της ESET ανακάλυψαν πρόσφατα μια νέα κακόβουλη εκστρατεία από την ομάδα Winnti. Αυτή τη φορά, στο στόχαστρο των κυβερνοεγκληματιών βρέθηκαν τα πανεπιστήμια του Χονγκ Κονγκ. Η τεχνολογία μηχανικής εκμάθησης της ESET ανίχνευσε ένα μοναδικό, κακόβουλο δείγμα σε πολλούς υπολογιστές σε δύο πανεπιστήμια του Χονγκ Κονγκ. Εκτός από τις δύο επιβεβαιωμένες περιπτώσεις πανεπιστημίων που παραβιάστηκε η ασφάλειά τους, η ESET έχει ενδείξεις ότι μπορεί να έχουν μολυνθεί τουλάχιστον ακόμη τρία πανεπιστήμια. Στόχος των κυβερνοεγκληματιών ήταν η υποκλοπή πληροφοριών από τους υπολογιστές των θυμάτων. Χρονικά, η συγκεκριμένη εκστρατεία της ομάδας Winnti συνέπεσε με τις πολυπληθείς εκδηλώσεις διαμαρτυρίας πολιτών που σάρωσαν το Χονγκ Κονγκ, καθώς και τα πανεπιστήμια της περιοχής.

Οι πρόσφατες έρευνες σχετικά με την ομάδα Winnti, στην οποία καταλογίζονται οι υψηλού προφίλ επιθέσεις «supply-chain» ενάντια στη βιομηχανίας βιντεοπαιχνιδιών και λογισμικού κατά το παρελθόν, καθώς και επιθέσεις στους τομείς υγείας και εκπαίδευσης, επιβεβαιώνουν ότι οι κυβερνοεγκληματίες εξακολουθούν να χρησιμοποιούν το backdoor ShadowPad, που αποτελεί τη ναυαρχίδα του οπλοστασίου τους. Ωστόσο, στην εκστρατεία εναντίον των πανεπιστημίων του Χονγκ Κονγκ, το launcher του ShadowPad αντικαταστάθηκε από μια νέα και απλούστερη έκδοση, η οποία εντοπίζεται ως Win32/Shadowpad.C από τις λύσεις της ESET.

«Τα δείγματα τόσο του ShadowPad όσο και του Winnti, που βρέθηκαν στα πανεπιστήμια τον Νοέμβριο του 2019, περιέχουν αναγνωριστικά εκστρατείας και διευθύνσεις URL των command & control που ταιριάζουν με το όνομα των πανεπιστημίων, γεγονός που υποδηλώνει ότι πρόκειται για στοχευμένη επίθεση», λέει ο ερευνητής της ESET, Mathieu Tartare, επικεφαλής στις έρευνες για την ομάδα Winnti.

«Το ShadowPad είναι ένα πολυμορφικό backdoor και, από προεπιλογή, κάθε πληκτρολόγηση καταγράφεται μέσω του module Keylogger. Η by-default χρήση αυτού του module υποδηλώνει ότι οι εισβολείς ενδιαφέρονται να κλέψουν πληροφορίες από τους υπολογιστές των θυμάτων. Αντίθετα, στις παραλλαγές που είχαμε περιγράψει σε προηγούμενο whitepaper, δεν υπήρχε καν αυτό το module» εξηγεί ο Tartare.

ΣΧΕΤΙΚΑ