Специалисты ESET зафиксировали новую активность группы Winnti

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой активности уже известной группы киберпреступников Winnti. На этот раз целью злоумышленников стали университеты Гонконга.

В ноябре 2019 года система машинного обучения ESET зафиксировала уникальный вредоносный образец на компьютерах в двух высших учебных заведениях Гонконга. Кроме подтвержденных случаев заражения, специалисты ESET обнаружили признаки компрометации еще не менее как трех университетов.

Зафиксирована кража информации в университетах Гонконга бэкдором ShadowPad – исследование ESET.

Согласно результатам предыдущих исследований целенаправленных атак группы Winnti на геймеров и разработчиков видеоигр стало известно, что злоумышленники использовали бэкдор ShadowPad. Тогда как в атаках на гонконгские университеты бэкдор ShadowPad был заменен на новую и более простую версию, которую продукты ESET обнаруживают как Win32/Shadowpad.C.

«Образцы бэкдора ShadowPad и вредоносного программного обеспечения Winnti, зафиксированные в этих университетах в ноябре 2019 года, содержат идентификаторы кампании и URL-адреса командного сервера (C&C) в соответствии с названиями высших учебных заведений, что свидетельствует о целенаправленной атаке», комментируют исследователи ESET.

Возможной целью злоумышленников было похищение конфиденциальных данных с устройств жертв. Стоит отметить, что атаки группы Winnti происходили во время местных протестов в Гонконге, включая территории университетов.

«ShadowPad — это многомодульный бэкдор, и по умолчанию каждое нажатие клавиш пользователями записывается с помощью специального модуля. Использование этого модуля указывает на то, что злоумышленники нацелены на кражу информации с устройств жертв. Стоит отметить, что согласно данным предыдущих исследований деятельности киберпреступников этот модуль даже не был встроен в бэкдор», — комментируют исследователи ESET.

Подробная информация об угрозе и идентификаторы компрометации доступны по ссылке.