WINNKIT
WINNKIT అనేది చైనీస్-మద్దతుగల APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్ Winnti యొక్క ఆయుధాగారంలో భాగమని కనుగొనబడిన అధునాతన మరియు చాలా తప్పించుకునే ముప్పు. Winnti మాల్వేర్ సైబర్స్పియోనేజ్ ప్రచారంలో ఉపయోగించిన బహుళ-దశల ఇన్ఫెక్షన్ చైన్లో చివరి పేలోడ్గా పనిచేసింది. APT41, బేరియం మరియు బ్లాక్ఫ్లై ఉత్తర అమెరికా, యూరప్ మరియు ఆసియా అంతటా విస్తరించి ఉన్న లక్ష్యాల అంతర్గత నెట్వర్క్లలోకి చొరబడినట్లు వింటిని కూడా ట్రాక్ చేశారు.
హ్యాకర్లు మేధో సంపత్తి మరియు యాజమాన్య డేటా, రేఖాచిత్రాలు, బ్లూప్రింట్లు మరియు మరిన్నింటిని కలిగి ఉన్న వందల గిగాబైట్ల రహస్య సమాచారాన్ని పొందినట్లు నమ్ముతారు. ఆపరేషన్ యొక్క పూర్తి ఇన్ఫెక్షన్ చైన్ మరియు ఉపయోగించిన బెదిరింపు సాధనాల గురించి సైబర్రీజన్ ప్రచురించిన నివేదికలో వెల్లడైంది.
WINNKIT ముప్పు రూట్కిట్ సామర్థ్యాలతో కూడిన డ్రైవర్ రూపాన్ని తీసుకుంటుంది. దాని స్టెల్త్ మరియు డిటెక్షన్-ఎగవేత టెక్నిక్ల ప్రభావానికి నిదర్శనం WINNKIT కనీసం 3 సంవత్సరాల పాటు గుర్తించబడకుండా ఉండటమే. Windows Vista 64-bit మరియు ఆ తర్వాత నడుస్తున్న Windows సిస్టమ్లలో కనిపించే డ్రైవర్ సిగ్నేచర్ ఎన్ఫోర్స్మెంట్ (DSE) మెకానిజంను దాటవేయడానికి, WINNKIT గడువు ముగిసిన BenQ డిజిటల్ సిగ్నేచర్ను కలిగి ఉంది.
ప్రారంభించిన తర్వాత, WINNKIT నెట్వర్క్ కమ్యూనికేషన్కు హుక్స్ చేస్తుంది మరియు ముప్పు నటుల నుండి అనుకూల ఆదేశాల కోసం వేచి ఉంటుంది. ఇన్కమింగ్ కమాండ్లు DEPLOYLOG అని పిలువబడే మునుపటి-దశ మాల్వేర్ ద్వారా రూట్కిట్కి ప్రసారం చేయబడతాయి. రిఫ్లెక్టివ్ లోడింగ్ ఇంజెక్షన్ని ఉపయోగించడం ద్వారా, WINNKIT పాడైన మాడ్యూల్లను చట్టబద్ధమైన svchost ప్రక్రియలో ఇంజెక్ట్ చేయగలదు, అయితే గుర్తింపును తప్పించుకుంటుంది. యాక్టివేట్ చేయబడిన మాడ్యూల్లు దాడి చేసేవారికి అనేక రకాల చొరబాటు ఫంక్షన్లను అందిస్తాయి. ఉదాహరణకు, వాటిలో ఒకటి రాజీపడిన సిస్టమ్కు రిమోట్ డెస్క్టాప్ యాక్సెస్ను ప్రారంభించగలదు. ఇతర సిస్టమ్ కమాండ్ లైన్ను యాక్సెస్ చేయగలదు. టార్గెటెడ్ మెషీన్లో ఫైల్ సిస్టమ్ను మానిప్యులేట్ చేయడానికి, డేటాను ఎక్స్ఫిల్ట్రేట్ చేయడానికి మరియు ఎంచుకున్న ప్రాసెస్లను చంపడానికి ప్రత్యేక మాడ్యూల్స్ కూడా ఉన్నాయి.