АПТ WindShift

Миф о том, что компьютеры Mac не заражаются вирусами, на самом деле миф. Реальность такова, что вирусы для Mac встречаются реже. Они все еще существуют, но хакерские группы не делают их создание приоритетом. Однако время от времени появляется такая группа, как WindShift.

WindShift — это то, что считается APT (Advanced Persistent Threat). Это группы, о которых знают и отслеживают исследователи безопасности. Инфраструктура, инструменты и цели APT, как правило, хорошо известны, потому что они тщательно изучаются. Некоторые группы более скрытны и могут действовать незаметно. За этими группами сложнее следить. WindShift — одна из таких групп, и, по словам исследователей, она работает самое раннее с 2017 года.

APT WindShift в первую очередь ориентирован на разведывательные операции. Группа взаимодействует с крупными целями, такими как правительства и организации, но также, похоже, преследует конкретные цели, выбранные заранее. Что интересно в отношении их целей, так это то, что они кажутся совершенно не связанными друг с другом. Исследователям кибербезопасности еще предстоит найти единую связующую связь между целями. WindShift также использует другой подход, чем другие группы. Группа не так сильно полагается на вредоносные программы и программы-вымогатели, чтобы получить информацию, которую они ищут, как это делают другие группы. Вместо этого этот APT использует сложную социальную инженерию для тонкого получения данных от целей. Большинство целей даже не осознают, что что-то не так, пока не становится слишком поздно.

Именно благодаря этой зависимости от скрытности группа может проводить операции в течение продолжительных периодов времени, не будучи пойманной. Известно, что кампании WindShift длятся несколько месяцев. Эксперты предполагают, что некоторые из целей, пораженных WindShift, наблюдались в течение нескольких месяцев, прежде чем группа начала какие-либо реальные операции по взлому. WindShift делает это за счет использования поддельных учетных записей в социальных сетях, проведения дискуссий с целями на актуальные темы и создания привлекательного контента с помощью поддельных публикаций. Они связываются со своими целями, чтобы завоевать доверие и облегчить фактическую фазу атаки.

Группа также использует ряд аналитических инструментов для изучения и наблюдения за людьми, включая их привычки и интересы в Интернете. Они могут использовать эту информацию для продвижения своих кампаний социальной инженерии и получения еще большего количества знаний. WindShift использует как общедоступные инструменты, так и собственные утилиты. Один из способов, с помощью которого группа собирает информацию о вещах, которые нравятся их жертвам, — это отправка им ссылок на законные веб-страницы.

Хакеры попытаются получить учетные данные для входа в систему от цели, как только у них будет достаточно информации для работы. Группа использовала, среди прочего, Apple iCloud и Gmail для получения учетных данных от своих целей. Группа отправляет своей цели сообщение, предупреждающее ее о необходимости сбросить пароль. Цель отправляется на страницу, которая кажется законной, но является поддельной страницей восстановления, предназначенной для кражи информации. Если цель не попадается на уловку, WindShift переходит к хакерским инструментам, чтобы получить нужную им информацию.

Помимо использования общедоступных инструментов, Windshift создала несколько пользовательских хакерских инструментов и угроз, таких как следующие:

  • WindDrop — троянский загрузчик, предназначенный для систем Windows, впервые обнаруженный в 2018 году.
  • WindTail — вредоносное ПО, предназначенное для систем OSX, которое собирает определенные типы файлов или файлы с определенными именами, соответствующими его критериям. Он также способен внедрять дополнительные вредоносные программы в скомпрометированную систему.
  • WindTape — троянец-бэкдор, разработанный для систем OSX и способный делать скриншоты.

Эти инструменты имеют некоторые дополнительные возможности, такие как возможность управлять настройками DNS и отправлять пользователей на разные веб-страницы. WindShift может контролировать интернет-соединения скомпрометированных систем и вместо этого отправлять их на другие веб-сайты. Эти веб-сайты выглядят так же, как настоящие, и используются для получения учетных данных для входа и дополнительной информации от целей.

WindShift APT, несомненно, является одной из самых необычных хакерских групп. У группы другой подход к своим целям и атакам, чем у других известных APT. Группа в значительной степени полагается на социальную инженерию и в первую очередь нацелена на компьютеры Mac. Вот что делает их такой загадкой в мире хакеров. Исследователи безопасности все еще пытаются разработать свои операционные процедуры и мотивы. Тем не менее, группа определенно доказывает, что ваш Mac не так защищен от вирусов, как вы думаете.

В тренде

Наиболее просматриваемые

Загрузка...