Haber
WinntiÇin’e bağlı bir tehdit oyuncusu, imalat, malzeme ve enerji sektörleri içindeki Japon şirketlerini hedefleyen Revivalstone adlı yeni bir siber kampanyaya bağlandı.
Winnti en az 2012’den beri aktif, ancak son birkaç yıl içinde sadece Asya imalat ve malzeme organizasyonlarını hedeflemeye başladı.
LAC’deki araştırmacılara göre grubun etkinliği, özellikle bilinen bir grupla örtüşüyor Dünya Freybugbir alt küme Apt41iyi bilinen bir siber casusluk grubu.
Asya-Pasifik bölgesindeki organizasyonları hedeflemede Winnti, IBM Lotus Domino gibi uygulamalarda Deathlotus, Unapimon, Privatelog, Cunningpigeon, Windjammer ve ShadowGaze dahil olmak üzere kötü amaçlı kötü amaçlı yazılımlar dağıtmak için bulunan güvenlik açıklarından yararlanıyor.
LAC araştırmacıları Winnti’nin enfekte olmuş bir sunucuda web mermilerini bırakmak için bir kurumsal kaynak planlama sistemindeki bir SQL enjeksiyon güvenlik açığından yararlandığını gözlemlediler. Erişim kazandıktan sonra, tehdit oyuncusu kimlik bilgilerini toplar, keşif yapar ve Winnti kötü amaçlı yazılımları sunar.
Bu kötü amaçlı yazılım, yönetilen bir servis sağlayıcıyı ihlal etmek için daha da genişleyebilen geliştirilmiş bir sürümdür.
Buna göre LAC araştırmacıları tarafından yapılan bir açıklama“Yeni Winnti kötü amaçlı yazılım, gizleme, güncellenmiş şifreleme algoritmaları ve güvenlik ürünleri tarafından kaçırma gibi özelliklerle uygulanmıştır ve bu saldırgan grubunun Winnti kötü amaçlı yazılımlarının işlevlerini güncellemeye ve saldırılarda kullanmaya devam etmesi muhtemeldir.”