卡巴斯基实验室又发现一个全球性间谍组织

安全
据卡巴斯基发现,Winnti group从2009年一直活跃至今,全球有超过30家游戏公司和在线游戏平台都遭到该组织的攻击,其目标是窃取游戏社区的虚拟货币和源代码。

2013年,卡巴斯基实验室的安全专家披露一个针对游戏行业的网络间谍活动,并且恶意程序还是用有效的数字证书签名的。间谍活动的幕后威胁者叫做 Winnti group,其目标是窃取游戏社区的虚拟货币和源代码。

卡巴斯基实验室又发现一个全球性间谍组织

攻击范围

据卡巴斯基发现,Winnti group从2009年一直活跃至今,全球有超过30家游戏公司和在线游戏平台都遭到该组织的攻击。

据称Winnti group是一个基于中国的间谍组织,其大部分攻击目标位于东南亚、德国、美国、日本、中国、俄罗斯、巴西、秘鲁、白俄罗斯。2015年6月,卡巴斯基还搜集到一些证据,表明Winnti group的攻击范围已经从单纯的游戏行业扩大到了电信、制药公司。


进一步的分析发现,Winnti group其实是被当成攻击平台来感染目标组织的系统。该APT组织使用的攻击工具叫做“HDRoot”,是2006年开发出来的。至于Winnti group为什么会使用HDRoot工具?可能是2009年Winnti group成立时,HDRoot的作者加入了Winnti group,也可能是Winnti group在地下市场上买到了该工具。

HDRoot被黑客用来在目标系统上投放恶意后门,进而可以持续性的进行间谍活动。安全研究员还发现HDRoot工具受 VMProtect保护,而且在该攻击案例中,攻击者首先入侵了一个数字签名公司——中国广州元珞(音译)科技公司,然后用它们的数字签名来掩盖HDRoot工具。

安全专家们发现了两个HDRoot传送的后门样本,其中一个主要针对的是韩国公司;与此同时,卡巴斯基还在美国和俄罗斯分别发现了这两个版本的后门。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-06-26 13:52:49

2014-04-16 13:20:32

2013-10-17 11:21:43

2009-11-03 20:55:46

2014-02-12 10:46:31

2009-05-21 15:16:47

恶意代码数据保护卡巴斯基

2011-01-24 11:20:41

2009-04-21 13:08:31

2015-12-09 11:35:44

2009-02-10 16:27:35

2014-12-12 15:45:32

2014-08-06 16:16:44

2014-07-08 10:30:24

2020-12-03 10:34:25

网络威胁

2020-12-31 12:09:56

Ansible实验室Linux

2012-10-24 17:21:46

2016-03-06 22:36:04

2009-07-17 13:41:26

2009-06-24 14:22:01

点赞
收藏

51CTO技术栈公众号