Экспертами «Лаборатории Касперского», отслеживающими активность хакерской группы Winnti Group, были зафиксированы новые атаки, направленные против организаций в Великобритании, России и Южной Корее. Специалистам удалось выяснить, что для проведения своих атак злоумышленники пользуются вредоносным программным обеспечением HDRoot, разработанным в 2006 году. Эта программа заражает компьютер жертвы и может быть использована для того, чтобы запускать другое вредоносное ПО на целевой системе.
Как считают исследователи, разработчики вредоносной программы, созданной в 2006 году, позже сами вошли в состав Winnti. Группировка специализируется на кибершпионаже против разработчиков программного обеспечения, в особенности против производителей онлайн-игр. Хакеры из Winnti в последнее время расширили перечень целевых компаний, куда теперь входят телекоммуникационные и фармацевтические предприятия. В июне нынешнего года группировку уличили в шпионаже, как предполагают, в пользу китайского правительства.
Специалисты считают, что хакеры замаскировали исполняемый файл вредоносной программы под Microsoft Net Command net.exe для снижения риска его обнаружения системными администраторами. Код имеет защиту от анализа с использованием программы VMProtect, которая подписана скомпрометированным сертификатом китайской компании.
Исследователи смогли распознать два типа бэкдоров, которые запускаются HDRoot, но вполне возможно, что их может быть больше. С помощью одного из них можно обойти южнокорейские антивирусные решения, что является свидетельством возросшей активности хакеров именно в этом регионе. Помимо этого, в число организаций, пострадавших от действий группы, попали компании в Бангладеш, Китае, Индонезии и Японии, а также предприятия из Великобритании и России, которые уже не единожды становились жертвами атак со стороны Winnti.
Как утверждает эксперт из «Лаборатории Касперского» Дмитрий Тараканов, злоумышленники прекрасно осведомлены о том, на что обращают внимание системные администраторы в ходе анализа подозрительных файлов. В случае, если штат IT-специалистов в компании небольшой, вероятность того, что преступная активность останется незамеченной, увеличивается в несколько раз.