APT41
APT41 (Advanced Persistent Threat) yra įsilaužimo grupė, kuri, kaip manoma, kilusi iš Kinijos. Jie taip pat žinomi slapyvardžiu Winnti Group. Šį pavadinimą jiems suteikė kenkėjiškų programų ekspertai ir jis kilo iš vieno žinomiausių įsilaužimo įrankių, vadinamo „Winnti Backdoor Trojan“, kuris pirmą kartą buvo pastebėtas 2011 m. Ši programišių grupė, atrodo, yra daugiausia finansiškai motyvuota.
Turinys
Daugiausia skirta žaidimų pramonei
Skirtingai nuo daugelio aukšto lygio įsilaužimo grupių, kurios yra linkusios nukreipti į labai svarbias pramonės šakas, tokias kaip karinė, farmacija, energetika ir kt., Winnti Group renkasi žaidimų pramonėje veikiančias įmones. Netgi pirmasis populiariausias įsilaužimo įrankis – „Winnti Backdoor Trojos arklys“ – buvo išplatintas naudojant netikrą internetinio žaidimo atnaujinimą, kuris tuo metu buvo labai populiarus. Kai ši grėsmė buvo atskleista, dauguma vartotojų pradėjo spėlioti, kad žaidimo kūrėjai naudoja Winnti Trojan duomenims apie žaidėjus rinkti. Tačiau šie gandai greitai išnyko, nes kibernetinio saugumo tyrinėtojai patvirtino, kad „Winnti“ užpakalinių durų Trojos arklys priklauso kenkėjiškam trečiosios šalies veikėjui.
Reguliariai atnaujina įrankius
APT41 grupė naudoja savo parašo įsilaužimo įrankį Winnti Trojan jau aštuonerius metus, tačiau nė sekundei nemano, kad ši grėsmė yra pasenusi ir nekenksminga. Visai ne, Winnti Group pasirūpino, kad reguliariai atnaujintų šį įsilaužimo įrankį, kad užtikrintų, jog jis vis dar vienu žingsniu lenkia kenkėjiškų programų ekspertus. Bėgant metams įsilaužimo grupė ne tik toliau ginklavo savo įrankį, bet ir pasirūpino, kad „Winnti Backdoor Trojos arklys“ paliktų minimalius savo kenkėjiškos veiklos pėdsakus ir liktų slepiasi kuo ilgiau.
Naudoja surinktus skaitmeninius sertifikatus
Vienas iš APT41 įsilaužimo grupės prekių ženklų yra skaitmeninių sertifikatų naudojimas, kuriuos jie vagia įsiskverbdami į tam tikrų įmonių tinklus. Kai tai bus baigta, jie gali pradėti kampanijas, skirtas tame pačiame sektoriuje veikiančioms organizacijoms. Nors kenkėjiškų programų ekspertai žino apie Winnti grupės apgaulę ir nenuilstamai stengėsi, kad gauti sertifikatai būtų atšaukti, šis procesas užtruko ilgai, todėl kenkėjiška Winnti Group veikla dažnai vykdoma be jokių trukdžių. .
Kai kurie kiti įrankiai, esantys APT41 grupės arsenale, yra kenkėjiška programa BOOSTWRITE, „PortReuse“ užpakalinės durys ir „ShadowPad“ užpakalinės durys.
