กลุ่มภัยคุกคาม Winnti ที่ได้รับการสนับสนุนจากรัฐบาลจีน (Blackfly และ Suckfly โดย Symantec, Wicked Panda โดย CrowdStrike, BARIUM โดย Microsoft, APT41 โดย FireEye) มีการเคลื่อนไหวมาตั้งแต่ปี 2011 โดยในปี 2011 นั้น Kaspersky พบโทรจันของกลุ่ม Winnti บนระบบเกมส์ เป็นการโจมตีโดยแพร่กระจายมัลแวร์เข้าสู้เซิร์ฟเวอร์เกมส์
นักวิจัยของ ESET พบความเคลื่อนไหวล่าสุดของกลุ่ม Winnti โดยการใช้มัลแวร์ตัวใหม่ที่เรียกว่า PortReuse ซึ่งเมื่อติดเชื้อ PortReuse จะดัก network traffic จนกว่าจะได้รับ packet ที่ทำเป็นพิเศษถึงจะเริ่มทำงาน นักวิจัยพบว่าสายพันธุ์ของ PortReuse มีความหลากหลาย แต่ละสายพันธุ์จะใช้งาน port ที่ต่างกัน เช่น DNS ผ่าน TCP (53), HTTP (80), HTTPS (443), Remote Desktop Protocol (3389) และ Remote Windows (5985) หลังจากนั้น ESET ได้ทำการสแกนระบบผ่านอินเทอร์เน็ต พบเครื่องที่ติดเชื้อ PortReuse 8 เครื่องเป็นของบริษัทเดียวกันคือบริษัทผู้ผลิตฮาร์ดแวร์และซอร์ฟแวร์รายใหญ่ของเอเชีย
เป็นไปได้ว่ากลุ่ม Winnti จะโจมตีกลุ่มผู้ผลิตซอร์ฟแวร์และฮาร์ดแวร์เพื่อแพร่กระจายมัลแวร์ได้เป็นวงกว้างที่สุด
รายละเอียดเพิ่มเติมเกี่ยวกับมัลแวร์ Winnti อยู่ในบล็อคโพสต์ของ ESET และเอกสารทางเทคนิค https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Winnti.pdf
ที่มา : bleepingcomputer
You must be logged in to post a comment.