Фишинговая атака Winnti: угроза для серверов и данных

В последние дни внимание экспертов по кибербезопасности привлекла фишинговая атака, нацеленная на оперативный и обслуживающий персонал. Эта атака была связана с Winnti gang, APT-группой, действующей с 2009 года и первоначально сосредоточившей свои усилия на игровой индустрии. Однако сейчас она расширила свои масштабы, применяя сложные техники для внедрения вредоносных программ, подписанных действительными цифровыми сертификатами, целью которых является кража конфиденциальной информации.

Методы атаки

В рамках данной фишинговой кампании использовался троянец с дистанционным управлением Gh0st, который был замаскирован под законное обновление программного обеспечения FinalShell, широко применяемого для подключения по SSH. Ключевыми аспектами данной атаки стали:

• Использование доверия к обновлениям программного обеспечения;
• Распространение «зеленых» версий программ с целью привлечения пользователей;
• Стращивание потенциальных жертв с помощью взломанных версий ПО.

Вредоносные функции программы

После установки трояна, программа-бэкдор начинает собирать конфиденциальную информацию о подключениях, включая:

• IP-адреса;
• Имена пользователей;
• Пароли в виде открытого текста с помощью анализа памяти;
• Закрытые ключи из каталога .ssh.

Это позволяет злоумышленникам эффективно перемещаться по сети и выполнять множество задач, таких как кража данных, развертывание программ-вымогателей и неполадок в работе служб. URL-адрес обращается к фишинговому сайту: https://finalshell.cn/, который маскируется под официальный сайт.

Технологические механизмы сокрытия

Вредоносный установочный пакет интегрировал законное ПО FinalShell с троянцем Gh0st. Для избегания обнаружения троян использует:

• Внедрение вредоносного кода в легитимные процессы;
• Стеганографию изображений для сокрытия вредоносной нагрузки;
• Изменение атрибутов памяти и отключение функций безопасности, таких как защитник Windows и UAC.

После успешного внедрения бэкдор передает информацию злоумышленникам, собирая детальную информацию о системе, включая технические характеристики и зарегистрированные учетные записи для популярных программ, таких как WeChat и Telegram.

Выводы и рекомендации

Сочетание сложных технологий подчеркивает необходимость повышения мер безопасности для пользователей. Эксперты рекомендуют:

• Регулярно обновлять программное обеспечение;
• Быть осторожными при загрузке приложений из ненадежных источников;
• Следить за изменениями в системных процессах и безопасности.

Киберугрозы продолжают развиваться, и защита данных становится все более актуальной задачей для пользователей по всему миру.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.