APT41
APT41 (Advanced Persistent Threat) to grupa hakerska, która prawdopodobnie wywodzi się z Chin. Znani są również pod pseudonimem Winnti Group. Nazwa ta została im nadana przez ekspertów od szkodliwego oprogramowania i pochodzi od jednego z ich najbardziej znanych narzędzi hakerskich, zwanego backdoorem Winnti, który został zauważony po raz pierwszy w 2011 roku. Ta grupa hakerów wydaje się być głównie motywowana finansowo.
Spis treści
Ukierunkowany głównie na branżę gier
W przeciwieństwie do większości znanych grup hakerskich, które mają tendencję do atakowania branż o dużym znaczeniu, takich jak wojsko, farmacja, energetyka itp., Grupa Winnti woli ścigać firmy działające w branży gier. Nawet ich pierwsze najpopularniejsze narzędzie hakerskie, trojan typu backdoor Winnti, było rozpowszechniane poprzez fałszywą aktualizację gry online, która w tamtym czasie była bardzo popularna. Po wykryciu tego zagrożenia większość użytkowników zaczęła spekulować, że twórcy gry używają trojana Winnti do zbierania danych o graczach. Jednak plotki te szybko zniknęły, ponieważ badacze cyberbezpieczeństwa potwierdzili, że trojan Winnti typu backdoor należy do złośliwego podmiotu zewnętrznego.
Regularnie aktualizuje narzędzia
Grupa APT41 od ośmiu lat używa swojego sygnowanego narzędzia hakerskiego, trojana Winnti, ale ani przez chwilę nie myśl, że to zagrożenie jest przestarzałe i nieszkodliwe. Wcale nie, Winnti Group zadbało o regularne aktualizowanie tego narzędzia hakerskiego, aby upewnić się, że pozostaje o krok przed ekspertami od złośliwego oprogramowania. Grupa hakerska przez lata nie tylko dalej uzbroiła swoje narzędzie, ale także upewniła się, że trojan typu backdoor Winnti pozostawia minimalne ślady swojej szkodliwej aktywności, aby jak najdłużej ukrywać się.
Wykorzystuje zebrane certyfikaty cyfrowe
Jednym ze znaków rozpoznawczych grupy hakerskiej APT41 jest wykorzystywanie cyfrowych certyfikatów, które kradną poprzez infiltrację sieci niektórych firm. Po zakończeniu mogą rozpocząć kampanie skierowane do organizacji działających w tym samym sektorze. Podczas gdy eksperci od złośliwego oprogramowania są świadomi sztuczek Winnti Group i pracują niestrudzenie, aby upewnić się, że uzyskane certyfikaty zostały unieważnione, proces ten wymagał długiego czasu na ukończenie, więc złośliwe działania Winnti Group są często przeprowadzane bez żadnych przerw .
Niektóre z innych narzędzi w arsenale grupy APT41 to złośliwe oprogramowanie BOOSTWRITE, trojan typu backdoor PortReuse i backdoor ShadowPad.
