นักวิจัยของ ESET เปิดเผยแผนการของกลุ่มแฮกเกอร์ Winnti ที่โจมตีมหาวิทยาลัยโดยใช้มัลแวร์ ShadowPad และ Winnti
เมื่อพฤศจิกายน ปี 2019 กลุ่มแฮกเกอร์ Winnti โจมตีสองมหาวิทยาลัยในฮ่องกง เราพบเวอร์ชั่นใหม่ของ backdoor ShadowPad ที่ใช้ Launcher ใหม่และโมดูลจำนวนมาก รวมทั้งพบมัลแวร์ Winnti ในเวลาต่อมา
กลุ่มแฮกเกอร์ Winnti เริ่มปฏิบัติการตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียงในอุตสาหกรรมซอฟต์แวร์ วิดีโอเกมส์ สถาบันสุขภาพ และสถาบันการศึกษา รวมถึงเป็นเจ้าผู้ดัดแปลงโปรแกรม CCleaner, ASUS LiveUpdate และเกมส์
Augur ระบบ Machine Learning ของ ESET ตรวจจับไฟล์อันตรายได้จากคอมพิวเตอร์ของมหาวิทยาลัยฮ่องกง และมีข้อมูล C&C URL ที่มีชื่อมหาวิทยาลัย จึงเป็นการยืนยันว่าเป็นการโจมตีแบบเลือกเป้าหมาย (Targeted Attack)
เรายังคงติดตามกิจกรรมใหม่ๆของกลุ่ม Winnti และข้อมูลอื่นๆ ในบล็อค
Indicators of Compromise (IoCs)
ESET detection names
Win32/Shadowpad.C trojan
Win64/Winnti.CA trojan
File names
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%ALLUSERSPROFILE%\DRM\CLR\CLR.exe
C:\windows\temp\hpqhvsei.dll
C:\windows\temp\hpqhvind.exe
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%SYSTEM32%\oci.dll
%APPDATA%\PAGM\OEY\XWWEYG\WAOUE
Service display name
clr_optimization_v4.0.30229_32
C&C servers
b[org_name].dnslookup[.]services:443
w[org_name].livehost[.]live:443
w[org_name].dnslookup[.]services:443
ShadowPad launcher
Similar sample to avoid disclosing targeted universities.
693f0bd265e7a68b5b98f411ecf1cd3fed3c84af
Author: Mathieu Tartare
Source: https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
WeLiveSecurity Thai Edition's 
นักวิจัยของ ESET เปิดเผยแผนการของกลุ่มแฮกเกอร์ Winnti ที่โจมตีมหาวิทยาลัยโดยใช้มัลแวร์ ShadowPad และ Winnti
เมื่อพฤศจิกายน ปี 2019 กลุ่มแฮกเกอร์ Winnti โจมตีสองมหาวิทยาลัยในฮ่องกง เราพบเวอร์ชั่นใหม่ของ backdoor ShadowPad ที่ใช้ Launcher ใหม่และโมดูลจำนวนมาก รวมทั้งพบมัลแวร์ Winnti ในเวลาต่อมา
กลุ่มแฮกเกอร์ Winnti เริ่มปฏิบัติการตั้งแต่ปี 2012 มีเป้าหมายเป็นองค์กรที่มีชื่อเสียงในอุตสาหกรรมซอฟต์แวร์ วิดีโอเกมส์ สถาบันสุขภาพ และสถาบันการศึกษา รวมถึงเป็นเจ้าผู้ดัดแปลงโปรแกรม CCleaner, ASUS LiveUpdate และเกมส์
Augur ระบบ Machine Learning ของ ESET ตรวจจับไฟล์อันตรายได้จากคอมพิวเตอร์ของมหาวิทยาลัยฮ่องกง และมีข้อมูล C&C URL ที่มีชื่อมหาวิทยาลัย จึงเป็นการยืนยันว่าเป็นการโจมตีแบบเลือกเป้าหมาย (Targeted Attack)
เรายังคงติดตามกิจกรรมใหม่ๆของกลุ่ม Winnti และข้อมูลอื่นๆ ในบล็อค
Indicators of Compromise (IoCs)
ESET detection names
Win32/Shadowpad.C trojan
Win64/Winnti.CA trojan
File names
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%ALLUSERSPROFILE%\DRM\CLR\CLR.exe
C:\windows\temp\hpqhvsei.dll
C:\windows\temp\hpqhvind.exe
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%SYSTEM32%\oci.dll
%APPDATA%\PAGM\OEY\XWWEYG\WAOUE
Service display name
clr_optimization_v4.0.30229_32
C&C servers
b[org_name].dnslookup[.]services:443
w[org_name].livehost[.]live:443
w[org_name].dnslookup[.]services:443
ShadowPad launcher
Similar sample to avoid disclosing targeted universities.
693f0bd265e7a68b5b98f411ecf1cd3fed3c84af
Author: Mathieu Tartare
Source: https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
Translated by: Worapon H.
Share this:
Like this: