Tin tức và phân tích của tất cả các thiết bị di động

Nhóm các nhóm tin tặc Trung Quốc Win Win xông vào các trường đại học Hồng Kông

sinh viên hong kong

  • Các nhà nghiên cứu đã tìm thấy bằng chứng về hoạt động hack Winnti tại ít nhất năm trường đại học ở Hồng Kông.
  • Nhóm khét tiếng này đã trồng một biến thể mới của cửa sau của Shadow ShadowPad và cố gắng đánh cắp dữ liệu.
  • Gần như chắc chắn rằng các tin tặc đã theo tên của những người tổ chức các cuộc biểu tình ở Hồng Kông.
  • Các nhà nghiên cứu ESET có phát hiện ra một chiến dịch mới ra mắt bởi nhóm hack nhà nước khét tiếng của Trung Quốc được biết đến với tên gọi là Win Winnti. Mục tiêu của loạt vụ tấn công mới này là hai trường đại học Hồng Kông (và cũng có thể là ba trường khác), và thời điểm phát hiện trùng với thời điểm các cuộc biểu tình ở Hồng Kông bắt đầu. Dựa trên phương pháp của các cuộc tấn công và các công cụ đã được sử dụng, các nhà nghiên cứu đã suy luận rằng Winnti đang cố gắng lấy dữ liệu từ các hệ thống bị xâm nhập và không gây ra bất kỳ thiệt hại gây rối nào.

    Cụ thể hơn, các diễn viên của Tập đoàn Winnti đã triển khai một biến thể mới của Shadow ShadowPad, một trong những cửa hậu tùy chỉnh của họ. Phần mềm độc hại này có khả năng chụp ảnh màn hình, tiến hành keylogging, phân tích cú pháp các tệp cục bộ và đánh cắp dữ liệu duyệt web và liên lạc. Vì một số lý do, Winnti đã quyết định thay thế trọng tải của họ tại một số điểm và sử dụng một trong số đó bị che khuất bằng cách sử dụng VMProtect. Tải trọng mới này cũng thiếu mã hóa RC5 thường có trong các công cụ Winnti. Trình khởi chạy 32 bit của ShadowPad có tên là hp hpqhvsei.dll, và nó được sử dụng như một yếu tố tải bên khi các nạn nhân khởi chạy ứng dụng ‘HP Digital Imaging, điều khiển máy in HP.

    side_load_dll "width =" 768 "height =" 406 "data-srcset =" https://apsachieveonline.org/wp-content/uploads/2020/02/Nhom-cac-nhom-tin-tac-Trung-Quoc-Win-Win-xong.png 768w, https: //cdn.technadu. com / wp-content / uploads / 2020/02 / side_load_dll-300x159.png 300w, https://cdn.technadu.com/wp-content/uploads/2020/02/side_load_dll-200x106.png 200w, https: // cdn.technadu.com/wp-content/uploads/2020/02/side_load_dll-696x368.png 696w "size =" (max-width: 768px) 100vw, 768pxNguồn: WeLiveSecurance

    Khi tải trọng đã thiết lập sự hiện diện của nó trên máy bị nhiễm, nó được giải mã thông qua một vòng lặp XOR, và sau đó thực hiện shellcode theo sau. Cửa hậu sau đó đang thực hiện một số bước để đảm bảo tính bền bỉ và cuối cùng, các mô-đun được tải khi cần thiết. Phiên bản đặc biệt này triển khai 17 mô-đun khác nhau và tất cả chúng đều được biên dịch cùng một lúc. Đối với truyền thông mạng, ShadowPad bắt đầu một MS ẩn Windows Media Player xử lý và tự tiêm vào nó. Sau đó, module Mô-đun trực tuyến, liên lạc với máy chủ C2, đặt quy tắc tường lửa khi cần và bắt đầu nghe trên cổng 13567.

    Nhắm mục tiêu Winnti của các trường đại học Hồng Kông không phải là ngẫu nhiên. Các cuộc biểu tình vẫn đang tiếp diễn trong khu vực được tổ chức đầu tiên và trước hết bởi các trường đại học địa phương, vì vậy rất có thể Winnti muốn tìm hiểu chính xác ai là người đứng sau những hành động này. Trong những năm trước, Winnti đã tham gia vào hoạt động gián điệp không gian mạng, nhắm vào các nhà lãnh đạo ngành công nghiệp Đức như Bayer AG (dược phẩm) và TeamViewer (công nghệ). Kaspersky cũng đã bày tỏ niềm tin của họ rằng Winnti cũng đứng sau hoạt động của ASUS ASUS Ham Hammer, vì cuộc tấn công chuỗi cung ứng ShadowPad cũng được sử dụng ở đó. Để biết danh sách đầy đủ các chỉ số thỏa hiệp liên quan đến chiến dịch này, hãy xem Kho GitHub.