Cybercrime Malware News

กลุ่มแฮกเกอร์ Winnti โจมตีมหาวิทยาลัยในฮ่องกง

สองมหาวิทยาลัยในฮ่องกงโดนโจมตีโดยกลุ่มแฮกเกอร์ Winnti

นักวิจัยของ ESET เปิดเผยแผนการของกลุ่มแฮกเกอร์ Winnti ที่โจมตีมหาวิทยาลัยโดยใช้มัลแวร์ ShadowPad และ Winnti

เมื่อพฤศจิกายน ปี 2019 กลุ่มแฮกเกอร์ Winnti โจมตีสองมหาวิทยาลัยในฮ่องกง เราพบเวอร์ชั่นใหม่ของ backdoor ShadowPad ที่ใช้ Launcher ใหม่และโมดูลจำนวนมาก รวมทั้งพบมัลแวร์ Winnti ในเวลาต่อมา

กลุ่มแฮกเกอร์ Winnti เริ่มปฏิบัติการตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียงในอุตสาหกรรมซอฟต์แวร์ วิดีโอเกมส์ สถาบันสุขภาพ และสถาบันการศึกษา รวมถึงเป็นเจ้าผู้ดัดแปลงโปรแกรม CCleaner, ASUS LiveUpdate และเกมส์

Augur ระบบ Machine Learning ของ ESET ตรวจจับไฟล์อันตรายได้จากคอมพิวเตอร์ของมหาวิทยาลัยฮ่องกง และมีข้อมูล C&C URL ที่มีชื่อมหาวิทยาลัย จึงเป็นการยืนยันว่าเป็นการโจมตีแบบเลือกเป้าหมาย (Targeted Attack)

เรายังคงติดตามกิจกรรมใหม่ๆของกลุ่ม Winnti และข้อมูลอื่นๆ ในบล็อค

Indicators of Compromise (IoCs)

ESET detection names

Win32/Shadowpad.C trojan
Win64/Winnti.CA trojan

File names

%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%ALLUSERSPROFILE%\DRM\CLR\CLR.exe
C:\windows\temp\hpqhvsei.dll
C:\windows\temp\hpqhvind.exe
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%SYSTEM32%\oci.dll
%APPDATA%\PAGM\OEY\XWWEYG\WAOUE

Service display name

clr_optimization_v4.0.30229_32

C&C servers

b[org_name].dnslookup[.]services:443
w[org_name].livehost[.]live:443
w[org_name].dnslookup[.]services:443

ShadowPad launcher

Similar sample to avoid disclosing targeted universities.
693f0bd265e7a68b5b98f411ecf1cd3fed3c84af

Author: Mathieu Tartare
Source:
https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
Translated by: Worapon H.

%d bloggers like this: