Хакерская группа Winnti, которую исследователи связывают с Китаем, известна давно. Впервые хакеров заметили еще в 2007 году, когда те развернули кибершпионскую кампанию, направленную против представителей онлайновой игровой индустрии. С тех пор картина мало изменилась: большинство компаний, пострадавших от деятельности Winnti, сосредоточены в странах Юго-восточной Азии, а хакеры практически всегда преследуют финансовую выгоду.
Специалисты компании Trend Micro, равно как и другие эксперты, продолжают наблюдать за деятельностью Winnti, и недавно они обнаружили, что малварь группировки стала использовать для коммуникации с C&C-серверами аккаунт на GitHub.
По словам исследователей, группировка по-прежнему использует RAT PlugX, весьма популярный среди китайских злоумышленников, а также аналитикам удалось обнаружить новый бэкдор BKDR64_WINNTI.ONM.
Для связи с управляющими серверами малварь группы обращается к HTML-странице, размещенной на GitHub. В файле содержатся зашифрованные IP-адреса и номера портов C&C-сервера. Причем информация зашифрована алгоритмом, который, как давно известно, использует PlugX.
Специалисты сообщают, что Winnti зарегистрировались на GitHub еще в мае 2016 года, а эксплуатировать аккаунт для связи с управляющими серверами группировка начала в августе 2016 года. При этом эксперты уверены, что хакеры именно зарегистрировались на GitHub, а не взломали чужой аккаунт.
В период с 17 августа 2016 года по 12 марта 2017 года на GitHub «засветилось» около двух десятков комбинаций IP-адресов и портов. Исследователи пишут, что большинство серверов расположено в США, а еще два находятся в Японии. Пользователи Reddit, в свою очередь, отмечают, что управляющие серверы хостятся у Krypt Technologies. Эту компанию часто используют злоумышленники, управляющие ботнетами и другими угрозами.
«Злоупотребление возможностями популярной платформы, такой как GitHub, позволяет злоумышленникам вроде Winnti сохранять присутствие в сети, между скомпрометированным компьютером и их серверами, при этом оставаясь вне поля зрения», — пишут исследователи.