Licenze multi-dispositivo (sconti per quantità)
Threat Database Rootkits WINNKIT

WINNKIT

Entro Mezo nel Rootkits, Advanced Persistent Threat (APT)
Traduci in:
Italiano

WINNKIT è una minaccia sofisticata ed estremamente evasiva che è stata scoperta come parte dell'arsenale del gruppo APT (Advanced Persistent Threat) sostenuto dalla Cina Winnti . Il malware Winnti ha agito come payload finale in una catena di infezione a più stadi utilizzata in una campagna di cyberspionaggio che è proseguita per anni. Winnti ha anche rintracciato come APT41, Barium e Blackfly siano riusciti a infiltrarsi nelle reti interne di obiettivi sparsi in Nord America, Europa e Asia.

Si ritiene che gli hacker abbiano ottenuto centinaia di gigabyte di informazioni riservate, costituite da proprietà intellettuale e dati proprietari, diagrammi, progetti e altro. I dettagli sull'intera catena di infezione dell'operazione e sugli strumenti di minaccia utilizzati sono stati rivelati in un rapporto pubblicato da Cybereason.

La minaccia WINNKIT assume la forma di un driver dotato di funzionalità di rootkit. Una testimonianza dell'efficacia delle sue tecniche di furtività e rilevamento-evasione è il fatto che WINNKIT è riuscito a rimanere nascosto per almeno 3 anni. Per aggirare il meccanismo Driver Signature Enforcement (DSE) presente sui sistemi Windows che eseguono Windows Vista a 64 bit e versioni successive, WINNKIT contiene una firma digitale BenQ scaduta.

Dopo essere stato avviato, WINNKIT si aggancia alla comunicazione di rete e attende i comandi personalizzati degli attori della minaccia. I comandi in arrivo vengono inoltrati al rootkit dal malware della fase precedente noto come DEPLOYLOG. Utilizzando un'iniezione di caricamento riflettente, WINNKIT può iniettare moduli danneggiati nel processo svchost legittimo, eludendo il rilevamento. I moduli attivati forniscono un'ampia gamma di funzioni intrusive agli attaccanti. Ad esempio, uno di essi può abilitare l'accesso Desktop remoto al sistema compromesso. Altro è in grado di accedere alla riga di comando del sistema. Ci sono anche moduli dedicati per manipolare il file system, esfiltrare i dati e uccidere i processi scelti sulla macchina di destinazione.

Tendenza

I più visti

Caricamento in corso...