據法務部調查局發佈的”國內重要企業遭勒索軟體攻擊事件調查說明” , 調查局研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客…
請參閱: 調查局新聞稿
來源中央社新聞-中央社記者蕭博文攝
在此小編與您分享Winnti Group的相關資訊, 從AlienVault OTX情資中, 我們得悉並高度相信Winnti與中國國家情報機構有關,至少有一些駭客活動來自位於北京西城區。從2009年到2018年,許多以前沒有公開關聯的中國國家情報部門實際上都與Winnti有關。我們高度確信Winnti Group通過使用共同的目標和攻擊資源而建立聯繫展開攻擊。根據401TRG的Tom Hegel的報告,最初的攻擊目標通常是美國,日本,韓國軟體和遊戲組織和那些特別是被強調為中國經濟發展重點的行業,主要是收穫代碼簽名證書和操縱軟體,其次是獲得經濟利益,後期針對德國企業和其他目標, 通常是來自於政治動機或高價值的技術組織。
來源QuoIntelligence-德國企業受Winnti Group攻擊的時間表
Tom Hegel在報告中說:“在攻擊者的理想情況下,所有遠端存取都是通過自己的C2基礎結構進行的,該C2基礎結構充當proxy並掩蓋了其真實位置。” “但是,我們已經觀察到一些攻擊者在沒有proxy的情況下錯誤地訪問受害者機器的情況,識別出在這個過程中個人的真實位置–中國聯通北京城西城區的Netblock 網段221.216.0.0/13。”
另外根據QuoIntelligence在2019年12月的報告,德國聯邦憲法保護局Germany’s Federal Office for the Protection of the Constitution(BfV)發佈了一份報告,該報告與所謂的中國政府贊助的駭客組織Winnti Group有關。通過的惡意軟體分析,QuoIntelligence相信他們發現的樣本與BfV報告中描述的Winnti樣本高度相似,該樣本還與國際資安公司ESET的白皮書”CONNECTINGTHE DOTS Exposing the arsenal and methods of the Winnti Group”有著共同特徵。想了解更多有關Winnti Group, 請參考以下OTX情資…
https://otx.alienvault.com/pulse/5e9f16be94921dc55f085324
https://otx.alienvault.com/pulse/5e7c8929e3065fc66d5a9f77
https://otx.alienvault.com/pulse/5e7b4a11d552fbcfce6c314d
https://otx.alienvault.com/pulse/5e4bbe896e6393eb79a1d2c9
ESET發布的”CONNECTINGTHE DOTS Exposing the arsenal and methods of the Winnti Group”的白皮書:
https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Winnti.pdf
YARA規則GitHub 網址:
https://github.com/eset/malware-ioc/tree/master/winnti_group
*****竣盟科技快報歡迎轉載,但請註明出處