WINNKIT

Ang WINNKIT ay isang sopistikado at lubhang nakakaiwas na banta na natuklasang bahagi ng arsenal ng grupong Winnti na suportado ng China na APT (Advanced Persistent Threat). Ang Winnti malware ay kumilos bilang ang huling payload sa isang multi-stage na chain ng impeksyon na ginamit sa isang cyberespionage campaign na nagpatuloy nang maraming taon. Nasubaybayan din ni Winnti ang APT41, Barium, at Blackfly na makalusot sa mga panloob na network ng mga target na kumalat sa North America, Europe at Asia.

Ang mga hacker ay pinaniniwalaang nakakuha ng daan-daang gigabytes ng kumpidensyal na impormasyon, na binubuo ng intelektwal na ari-arian at pagmamay-ari na data, mga diagram, mga blueprint at higit pa. Ang mga detalye tungkol sa kumpletong chain ng impeksyon ng operasyon at ang mga ginamit na tool sa pagbabanta ay inihayag sa isang ulat na inilathala ng Cybereason.

Ang banta ng WINNKIT ay nasa anyo ng isang driver na nilagyan ng mga kakayahan sa rootkit. Ang isang patunay sa pagiging epektibo ng mga diskarte nito sa palihim at pag-iwas sa pagtuklas ay ang katotohanang nagawa ng WINNKIT na manatiling hindi natukoy nang hindi bababa sa 3 taon. Upang i-bypass ang mekanismo ng Driver Signature Enforcement (DSE) na makikita sa mga Windows system na nagpapatakbo ng Windows Vista 64-bit at mas bago, ang WINNKIT ay naglalaman ng expired na BenQ digital signature.

Matapos masimulan, kumakabit ang WINNKIT sa komunikasyon ng network at naghihintay ng mga custom na utos mula sa mga aktor ng pagbabanta. Ang mga papasok na command ay ipinadala sa rootkit ng nakaraang yugto ng malware na kilala bilang DEPLOYLOG. Sa pamamagitan ng paggamit ng reflective loading injection, ang WINNKIT ay maaaring mag-inject ng mga sirang module sa lehitimong proseso ng svchost , habang umiiwas sa pagtuklas. Ang mga naka-activate na module ay nagbibigay ng malawak na hanay ng mga mapanghimasok na function sa mga umaatake. Halimbawa, maaaring paganahin ng isa sa kanila ang Remote Desktop na access sa nakompromisong system. Ang iba ay may kakayahang ma-access ang command line ng system. Mayroon ding mga nakalaang module para sa pagmamanipula ng file system, pag-exfiltrate ng data at pagpatay sa mga napiling proseso sa naka-target na makina.

Trending

Pinaka Nanood

Naglo-load...