Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення нових атак на ланцюг постачання групою кіберзлочинців Winnti. Зокрема зловмисники здійснювали цілеспрямовані атаки на гравців та розробників відеоігор в країнах Азії.
Група Winnti відома своїми шпигунськими можливостями та цілеспрямованими атаками. Раніше спеціалісти ESET вже попереджали про атаки на геймерів в Азії. Після цієї публікації дослідники ESET продовжили аналізувати у двох напрямках — основні етапи інфікування та способи компрометації шкідливим програмним забезпеченням.
«Дуже важко виявити невеликий фрагмент прихованого коду у величезній базі коду. Однак ми покладалися на схожість поведінки раніше виявленого коду групи Winnti. Особливий інтерес у нас викликав унікальний пакувальник, який використовувався в останніх атаках на ігрову індустрію Азії. Ми почали досліджувати, чи застосовувався він ще десь, і знайшли подібність», — коментують дослідники ESET.
Варто зазначити, що цей пакувальник використовувався в бекдорі під назвою PortReuse. Завдяки скануванню Інтернет-простору дослідники ESET змогли виявити бекдор PortReuse та попередили одного з найбільших виробників програмного та апаратного забезпечення для мобільних пристроїв в Азії.
Крім цього, спеціалісти ESET проаналізували нові варіанти ще одного бекдора ShadowPad групи Winnti, який постійно вдосконалювався та активно використовувався зловмисниками. Зокрема ShadowPad отримував IP-адресу та протокол командного сервера (C&C) для використання під час аналізу веб-контенту, розміщеного на популярних загальнодоступних ресурсах, таких як GitHub, Steam, Microsoft TechNet або Google Docs. У конфігурації бекдора також є ідентифікатор кампанії. Варто зазначити, що ShadowPad вперше був зафіксований під час атаки на програмне забезпечення NetSarang, яке поширювалось зі шкідливою програмою.
Детальніша інформація про загрозу та ідентифікатори компрометації доступні за посиланням.