Лицензи за множество устройства (Отстъпки за количество)
Threat Database Advanced Persistent Threat (APT) WinDealer

WinDealer

До Mezo през Advanced Persistent Threat (APT), Stealersг
Превод на:
български език

По-малко известна китайско-говоряща киберпрестъпна група извършва операции по атака, които разгръщат злонамерен софтуер за кражба на информация върху взломените устройства. Хакерите от групата LuoYu прихващат актуализациите за легитимни приложения и ги превключват със злонамерени полезни товари в това, което е известно като атаки на човек отстрани. За да бъде успешна заразата, участниците в заплахата активно наблюдават мрежовия трафик на избраните от тях жертви. Когато се наблюдава заявка за актуализация на приложение, свързана с популярни софтуерни продукти на азиатския пазар, като QQ, Wanga Wang или WeChat, хакерите на LuoYu ги заменят с инсталаторите на зловредния софтуер WInDealer.

След като бъде изпълнен в Windows системата на жертвата, WinDealer ще позволи на нападателите да извършват широк спектър от натрапчиви и злонамерени действия. Една от основните функции на заплахата е свързана със събирането и последващото ексфилтриране на поверителни и чувствителни данни. Въпреки това, хакерите могат да разчитат и на WinDealer за инсталиране на по-специализирани заплахи за задната врата, за да гарантират тяхната устойчивост на устройството. WinDealer може да манипулира файловата система, да сканира за допълнителни устройства, свързани към същата мрежа, или да изпълнява произволни команди.

Една особена характеристика на заплахата е начинът, по който тя комуникира със своя сървър за командване и управление (C2, C&C). Вместо да използват твърдо кодиран C2 сървър, киберпрестъпниците LuoYu са създали пул от 48 000 IP адреса от китайските провинции Xizang и Guizhou. Заплахата ще се свърже с произволен IP адрес на ChinaNET (AS4134) измежду този пул. Изследователите по киберсигурност от Kaspersky, които разпространиха подробностите за LuoYu и WinDealer, вярват, че хакерите са в състояние да използват такава техника благодарение на достъпа до компрометирани рутери в AS4134 или чрез използване на инструменти за правоприлагане на ниво ISP. Друга възможност е участниците в заплахите да имат вътрешни методи, които все още не са известни на широката общественост.

Тенденция

Най-гледан

Зареждане...