Обзор обнаруженных техник и тактик группировки Winnti. Часть 1

Все блоги / Про интернет 3 августа 2021 243

Одно фишинговое письмо, по неосторожности открытое сотрудником компании, - и важная информация слита злоумышленнику. Всего лишь один клик мышью и на компьютере сотрудника запущены процессы, «допускающие» злоумышленников к инфраструктуре организации. При этом «антивирусы» взлом пропустили. Как раз с таким случаем столкнулся наш автор, эксперт «Информзащиты», когда обнаружил атаку группировки Winnti на компанию-заказчика. Киберпреступники нацелены на кражу данных у предприятий военно-промышленного комплекса, правительственных организаций и разработчиков ПО.

«Информзащите» удалось не только предотвратить кибератаку, но и отследить техники и тактики Winnti. Анализ получился достаточно глубоким и будет любопытен техническим специалистам. Предлагаем погружаться в детали постепенно, а потому сегодня только первая часть скринов кода и наших комментариев.

Источник: Хабрахабр

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

Исследуем Spyder – еще один бэкдор группировки Winnti

В конце прошлого года в нашу лабораторию за помощью обратилась зарубежная телекоммуникационная компания, сотрудники которой обнаружили в корпоративной сети подозрительные файлы. В ходе поиска следов вредоносной активности аналитики выявили образец весьма интересного бэкдора. Его анализ показал, что

подробнее »

4 марта 2021

Новогодние поздравления и COVID-19: как хакеры используют новости

Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой

подробнее »

22 апреля 2020

Higaisa или Winnti? Как мы определяли принадлежность бэкдоров

В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как

подробнее »

19 января 2021

Исследование атак со стороны профессиональных кибергруппировок: смотрим статистику техник и тактик

«Это был сложный год» — не только в свете коронавируса, локдауна, экологических бедствий и прочего, но и в части информационной безопасности. С переходом на удаленку многие компании выставили наружу ходы в инфраструктуру, что открыло новые возможности для мамкиных хакеров. Параллельно и

подробнее »

1 декабря 2020

Как выявить кибератаку и предотвратить кражу денег

По данным Positive Technologies, 42% кибератак на компании совершаются с целью получения прямой финансовой выгоды. Выявить атаку можно на разных ее этапах — от проникновения в сеть и до того момента, когда хакеры приступят к выводу денег. Разбираем, как распознать злоумышленников на каждом из

подробнее »

5 апреля 2021

Любимые тактики хакерских группировок

Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt,

подробнее »

29 мая 2020