APT41
ה-APT41 (Advanced Persistent Threat) היא קבוצת פריצות שמקורה לפי האמונה מסין. הם מוכרים גם תחת הכינוי Winnti Group. השם הזה ניתן להם על ידי מומחי תוכנות זדוניות והגיע מאחד מכלי הפריצה הידועים לשמצה שלהם בשם Winnti Backdoor Trojan, אשר זוהה לראשונה בשנת 2011. נראה כי קבוצת הפריצה הזו היא בעיקר בעלת מוטיבציה כלכלית.
תוכן העניינים
מתמקד בעיקר בתעשיית המשחקים
בניגוד לרוב קבוצות הפריצה בעלות פרופיל גבוה הנוטות לכוון לתעשיות בעלות חשיבות רבה כמו צבא, תרופות, אנרגיה וכו', קבוצת Winnti מעדיפה ללכת אחרי חברות הפועלות בתעשיית המשחקים. אפילו כלי הפריצה הפופולרי הראשון שלהם, ה-Winniti Trojan דלת אחורית, הופץ באמצעות עדכון מזויף למשחק מקוון, שהיה מאוד פופולרי באותה תקופה. ברגע שנחשף האיום הזה, רוב המשתמשים התחילו לשער שמפתחי המשחק משתמשים בסוס הטרויאני של Winnti כדי לאסוף נתונים על השחקנים. עם זאת, השמועות הללו נעלמו עד מהרה כאשר חוקרי אבטחת סייבר אישרו שהטרויאני בדלת האחורית Winnti שייך לשחקן צד שלישי זדוני.
מעדכן כלים באופן קבוע
קבוצת APT41 משתמשת בכלי הפריצה החתימה שלהם, Winnti Trojan, כבר שמונה שנים, אבל אל תחשבו לשנייה אחת שהאיום הזה מיושן ולא מזיק. בכלל לא, קבוצת Winnti דאגה לעדכן באופן קבוע את כלי הפריצה הזה כדי להבטיח שהוא יישאר צעד אחד לפני מומחי תוכנות זדוניות. קבוצת הפריצה לא רק שימשה עוד יותר את הכלי שלה לאורך השנים, אלא גם דאגה שהטרויאני של Winnti בדלת האחורית משאיר מינימום עקבות לפעילות הזדונית שלו כדי להישאר מסתתר זמן רב ככל האפשר.
משתמש בתעודות דיגיטליות שנאספו
אחד מהסימנים המסחריים של קבוצת הפריצה APT41 הוא שימוש בתעודות דיגיטליות, אותן הן גונבות על ידי חדירת רשתות של חברות מסוימות. לאחר השלמת הדבר, הם יכולים להשיק קמפיינים המיועדים לארגונים הפועלים באותו מגזר. בעוד שמומחי תוכנות זדוניות מודעים לתחבולות של קבוצת Winnti ופעלו ללא לאות כדי לוודא שאישורי ההשגה יבוטלו, תהליך זה נדרש זמן רב כדי להסתיים, ולכן הפעילויות הזדוניות של קבוצת Winnti מתבצעות לרוב ללא כל הפרעות .
חלק מהכלים האחרים בארסנל של קבוצת APT41 הם התוכנה הזדונית BOOSTWRITE, ה-Trojan PortReuse של הדלת האחורית והדלת האחורית של ShadowPad.
