Эксперты ESET обнаружили, что во время протестов, начавшихся еще в марте 2019 года, два неназванных университета в Гонконге были атакованы группировкой Winnti.

Атаки были обнаружены в ноябре 2019 года и начались с обнаружения лончера ShadowPad, который был найден на нескольких устройствах в двух университетах (причем вскоре после  предыдущих заражений Winnti, обнаруженных в октябре того же года). Эти атаки были тагетированными, так как малварь Winnti и модульный бэкдор Shadowpad содержали C&C URL-адреса и идентификаторы кампаний, напрямую связанные с названиями пострадавших учебных заведений.

Исследователи пишут, что конечной целью злоумышленников определенно был сбор и хищение данных с взломанных машин. Так, вариант ShadowPad, обнаруженный на зараженных устройствах, обладал функциями кейлоггера и мог делать скриншоты, пользуясь функциональностью 2 из 17 модулей, которые входят в комплект малвари.

Также отмечается, что в ходе этой кампании лончер ShadowPad был заменен на более простой, который не использовал обфускацию VMProtec, а применял XOR-шифрование, вместо алгоритма блочного шифрования RC5.

Специалисты ESET считают, что как минимум три других гонконгских университета тоже могли подвергаться атакам со стороны хак-группы, и в этих кампаниях так же применялись вредоносы  ShadowPad и Winnti.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии