APT41
APT41 (Advanced Persistent Threat) — це хакерська група, яка, як вважають, походить з Китаю. Вони також відомі під псевдонімом Winnti Group. Цю назву їм дали експерти зловмисного програмного забезпечення і походить від одного з їхніх найвідоміших хакерських інструментів під назвою троян-бекдор Winnti, який вперше був помічений ще в 2011 році. Здається, ця хакерська група переважно фінансово мотивована.
Зміст
Орієнтовано в основному на ігрову індустрію
На відміну від більшості високопрофільних хакерських груп, які, як правило, націлені на такі важливі галузі, як військова, фармацевтична, енергетика тощо, Winnti Group воліє йти за компаніями, що працюють в ігровій індустрії. Навіть їхній перший найпопулярніший інструмент злому, бекдор-троян Winnti, був поширений за допомогою підробленого оновлення для онлайн-ігри, яка була дуже популярна в той час. Як тільки цю загрозу було виявлено, більшість користувачів почали припускати, що розробники гри використовують троян Winnti для збору даних про гравців. Однак ці чутки незабаром зникли, оскільки дослідники кібербезпеки підтвердили, що бекдор-троян Winnti належить сторонньому зловмисникові.
Регулярно оновлює інструменти
Група APT41 використовує свій фірмовий інструмент злому, троян Winnti, вже вісім років, але ні на секунду не думайте, що ця загроза застаріла і нешкідлива. Зовсім ні, Winnti Group подбала про регулярне оновлення цього інструменту злому, щоб переконатися, що він залишається на крок попереду експертів зі шкідливого програмного забезпечення. Протягом багатьох років хакерська група не тільки вдосконалювала свій інструмент, але й подбала про те, щоб бекдор-троян Winnti залишав мінімальні сліди своєї шкідливої діяльності, щоб залишатися прихованим якомога довше.
Використовує зібрані цифрові сертифікати
Однією з торгових марок хакерської групи APT41 є використання цифрових сертифікатів, які вони крадуть, проникаючи в мережі певних компаній. Після цього вони можуть розпочати кампанії, націлені на організації, що працюють у тому ж секторі. Хоча експерти зі зловмисного програмного забезпечення знають про хитрість Winnti Group і невпинно працюють, щоб переконатися, що отримані сертифікати були відкликані, цей процес потребував тривалого часу для завершення, тому шкідливі дії Winnti Group часто здійснюються без будь-яких перерв. .
Деякі інші інструменти в арсеналі групи APT41 - це зловмисне програмне забезпечення BOOSTWRITE, бекдор-троян PortReuse і бекдор ShadowPad.
