APT41
APT41 (Advanced Persistent Threat) คือกลุ่มแฮ็คที่เชื่อว่ามีต้นกำเนิดมาจากประเทศจีน พวกเขายังเป็นที่รู้จักภายใต้นามแฝง Winnti Group ชื่อนี้ได้รับจากผู้เชี่ยวชาญด้านมัลแวร์และมาจากเครื่องมือแฮ็คที่โด่งดังที่สุดชิ้นหนึ่งที่เรียกว่า Winnti backdoor Trojan ซึ่งถูกค้นพบครั้งแรกในปี 2554 กลุ่มแฮ็คนี้ดูเหมือนจะมีแรงจูงใจทางการเงินเป็นส่วนใหญ่
สารบัญ
กำหนดเป้าหมายอุตสาหกรรมเกมเป็นหลัก
Winnti Group ต่างจากกลุ่มแฮ็คที่มีชื่อเสียงส่วนใหญ่ที่มุ่งเป้าไปที่อุตสาหกรรมที่มีความสำคัญอย่างยิ่ง เช่น การทหาร เภสัชกรรม พลังงาน ฯลฯ Winnti Group ชอบที่จะติดตามบริษัทที่ดำเนินงานในอุตสาหกรรมเกม แม้แต่เครื่องมือแฮ็คที่ได้รับความนิยมอย่างแรกของพวกเขาอย่าง Winnti backdoor Trojan ก็ถูกเผยแพร่ผ่านการอัปเดตปลอมสำหรับเกมออนไลน์ซึ่งเป็นที่นิยมอย่างมากในขณะนั้น เมื่อภัยคุกคามนี้ถูกเปิดเผย ผู้ใช้ส่วนใหญ่เริ่มคาดเดาว่าผู้พัฒนาเกมกำลังใช้ Winnti Trojan เพื่อรวบรวมข้อมูลเกี่ยวกับผู้เล่น อย่างไรก็ตาม ข่าวลือเหล่านี้ก็หายไปในไม่ช้า เนื่องจากนักวิจัยด้านความปลอดภัยทางไซเบอร์ยืนยันว่า Winnti backdoor Trojan นั้นเป็นของบุคคลภายนอกที่ประสงค์ร้าย
อัปเดตเครื่องมือเป็นประจำ
กลุ่ม APT41 ใช้เครื่องมือแฮ็คลายเซ็นของพวกเขา Winnti Trojan เป็นเวลาแปดปีแล้ว แต่อย่าคิดเลยแม้แต่วินาทีเดียวว่าภัยคุกคามนี้ล้าสมัยและไม่เป็นอันตราย ไม่เลย Winnti Group ได้ตรวจสอบให้แน่ใจว่าได้อัปเดตเครื่องมือแฮ็คนี้เป็นประจำ เพื่อให้แน่ใจว่ายังคงนำหน้าผู้เชี่ยวชาญด้านมัลแวร์อยู่หนึ่งก้าว กลุ่มแฮ็คไม่เพียงแต่เพิ่มอาวุธให้กับเครื่องมือของพวกเขาในช่วงหลายปีที่ผ่านมา แต่ยังทำให้แน่ใจว่าโทรจันลับๆ ของ Winnti จะทิ้งร่องรอยกิจกรรมที่เป็นอันตรายขั้นต่ำไว้เพื่อซ่อนให้นานที่สุด
ใช้ใบรับรองดิจิทัลที่รวบรวมไว้
หนึ่งในเครื่องหมายการค้าของกลุ่มแฮ็ค APT41 คือการใช้ใบรับรองดิจิทัล ซึ่งพวกเขาขโมยโดยการแทรกซึมเครือข่ายของบริษัทบางแห่ง เมื่อดำเนินการเสร็จแล้ว พวกเขาสามารถเปิดตัวแคมเปญที่กำหนดเป้าหมายไปยังองค์กรที่ดำเนินงานในภาคส่วนเดียวกันได้ ในขณะที่ผู้เชี่ยวชาญด้านมัลแวร์ทราบถึงกลอุบายของ Winnti Group และทำงานอย่างไม่รู้จักเหน็ดเหนื่อยเพื่อให้แน่ใจว่าใบรับรองที่ได้มานั้นถูกเพิกถอน กระบวนการนี้ใช้เวลานานกว่าจะเสร็จสิ้น ดังนั้นกิจกรรมที่เป็นอันตรายของ Winnti Group มักจะถูกดำเนินการโดยไม่หยุดชะงัก .
เครื่องมืออื่นๆ ในคลังแสงของกลุ่ม APT41 ได้แก่ มัลแวร์ BOOSTWRITE โทรจัน PortReuse และแบ็คดอร์ ShadowPad
