Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення нової активності вже відомої групи кіберзлочинців Winnti. Цього разу ціллю зловмисників стали університети Гонконгу.
У листопаді 2019 року система машинного навчання ESET зафіксувала унікальний шкідливий зразок на комп'ютерах двох вищих навчальних закладів Гонконгу. Крім підтверджених випадків інфікування, спеціалісти ESET виявили ознаки компрометації ще щонайменше як трьох університетів.
Відповідно до результатів попередніх досліджень цілеспрямованих атак групи Winnti на геймерів та розробників відеоігор стало відомо, що зловмисники використовували бекдор ShadowPad. Тоді як у атаках на гонконгські університети бекдор ShadowPad було замінено на нову та простішу версію, яку продукти ESET виявляють як Win32/Shadowpad.C.
«Зразки бекдора ShadowPad та шкідливого програмного забезпечення Winnti, зафіксовані в цих університетах у листопаді 2019 року, містять ідентифікатори кампанії та URL-адреси командного сервера (C&C) відповідно до назв вищих навчальних закладів, що свідчить про цілеспрямовану атаку», — коментують дослідники ESET.
Можливою ціллю зловмисників було викрадення конфіденційних даних з пристроїв жертв. Варто зазначити, що атаки групи Winnti відбувалися під час місцевих протестів в Гонконгу, включаючи території університетів.
«ShadowPad — це багатомодульний бекдор, і за замовчуванням кожне натискання клавіш користувачами записується за допомогою спеціального модуля. Використання цього модуля вказує на те, що зловмисники націлені на викрадення інформації з пристроїв жертв. Варто зазначити, що відповідно до попередніх досліджень діяльності кіберзлочинців цей модуль навіть не був вбудований у бекдор», — коментують дослідники ESET.
Детальніша інформація про загрозу та ідентифікатори компрометації доступні за посиланням.