WINNKIT

WINNKIT เป็นภัยคุกคามที่ซับซ้อนและมีการหลบเลี่ยงอย่างยิ่ง ซึ่งถูกค้นพบว่าเป็นส่วนหนึ่งของคลังแสงของกลุ่ม Winnti APT (Advanced Persistent Threat) ที่ได้รับการสนับสนุนจากจีน มัลแวร์ Winnti ทำหน้าที่เป็นเพย์โหลดสุดท้ายในห่วงโซ่การติดไวรัสแบบหลายขั้นตอนที่ใช้ในแคมเปญจารกรรมทางอินเทอร์เน็ตที่ดำเนินต่อไปหลายปี Winnti ยังติดตามว่า APT41, Barium และ Blackfly สามารถแทรกซึมเครือข่ายภายในของเป้าหมายที่กระจายไปทั่วอเมริกาเหนือ ยุโรป และเอเชีย

เชื่อว่าแฮ็กเกอร์ได้รับข้อมูลลับหลายร้อยกิกะไบต์ ซึ่งประกอบด้วยทรัพย์สินทางปัญญาและข้อมูลที่เป็นกรรมสิทธิ์ ไดอะแกรม พิมพ์เขียว และอื่นๆ รายละเอียดเกี่ยวกับห่วงโซ่การแพร่ระบาดที่สมบูรณ์ของปฏิบัติการและเครื่องมือคุกคามที่ใช้ได้เปิดเผยในรายงานที่เผยแพร่โดย Cybereason

ภัยคุกคาม WINNKIT อยู่ในรูปแบบของไดรเวอร์ที่ติดตั้งความสามารถของรูทคิต ข้อพิสูจน์ถึงประสิทธิภาพของเทคนิคการลักลอบและหลบเลี่ยงการตรวจจับคือข้อเท็จจริงที่ว่า WINNKIT สามารถตรวจจับได้โดยไม่ถูกตรวจจับเป็นเวลาอย่างน้อย 3 ปี เพื่อหลีกเลี่ยงกลไกการบังคับใช้ลายเซ็นของไดรเวอร์ (DSE) ที่พบในระบบ Windows ที่ใช้ Windows Vista 64 บิตและใหม่กว่า WINNKIT ประกอบด้วยลายเซ็นดิจิทัลของ BenQ ที่หมดอายุ

หลังจากเริ่มต้น WINNKIT จะเชื่อมต่อกับการสื่อสารในเครือข่ายและรอคำสั่งที่กำหนดเองจากผู้คุกคาม คำสั่งที่เข้ามาจะถูกส่งไปยังรูทคิตโดยมัลแวร์ในขั้นก่อนหน้าที่เรียกว่า DEPLOYLOG ด้วยการใช้การฉีดสะท้อนแสง WINNKIT สามารถฉีดโมดูลที่เสียหายลงในกระบวนการ svchost ที่ถูกต้องตามกฎหมาย ในขณะที่หลบเลี่ยงการตรวจจับ โมดูลที่เปิดใช้งานมีฟังก์ชันล่วงล้ำที่หลากหลายแก่ผู้โจมตี ตัวอย่างเช่น หนึ่งในนั้นสามารถเปิดใช้งานการเข้าถึงเดสก์ท็อประยะไกลไปยังระบบที่ถูกบุกรุกได้ อื่นๆ สามารถเข้าถึงบรรทัดคำสั่งของระบบได้ นอกจากนี้ยังมีโมดูลเฉพาะสำหรับการจัดการระบบไฟล์ การกรองข้อมูล และการฆ่ากระบวนการที่เลือกบนเครื่องเป้าหมาย