Общее описание
Группа Winnti активна по меньшей мере с 2012 года. Группа происходит из Китая и принадлежит к классу спонсируемых правительством. Ключевые интересы группы — шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из собственно разработанного ВПО. Winnti использует сложные методы атак, в числе которых supply-chain и watering hole. Группа точно знает, кто их жертва, она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий. Группа атакует страны по всему миру: Белоруссию, Бразилию, Германию, Индию, Монголию, Россию, США, Южную Корею, Японию и др.
Цели
- Шпионаж
- Кража интеллектуальной собственности
Инструменты
- ASPXSpy
- Bisonal
- ChinaChopper
- CROSSWALK
- GEARSHIFT
- GOODLUCK
- Gh0st
- MessageTap
- njRAT
- PACMAN
- PipeMon
- PlugX
- PoisonIVY
- PortReuse
- PWNLNX
- ShadowPad
- SkinnyD
- SWEETCANDLE
- Winnti backdoor
- WIDETONE
- xDll
- ZxShell
Атакуемые страны
Белоруссия
Бразилия
Германия
Индия
Монголия
Россия
США
Южная Корея
Япония
Альтернативные названия группы
- APT41
- AXIOM
- BARIUM
- LEAD
- BlackFly
Атакуемые отрасли:
- Государственный сектор
- Финансовый сектор
- Энергетика
- Игровая индустрия
- Разработка ПО
- Авиационно-космическая промышленность
- Фармацевтика
- Телекоммуникации
- Строительство
- Образование