ESET-Forscher haben gezielte Angriffsversuche der berüchtigten Winnti-Gruppe auf zwei Universitäten in Hongkong enttarnt. In der Vergangenheit wurde die Gruppe bereits verdächtigt, hinter hochentwickelten Attacken auf DAX-Konzerne wie Bayer, Thyssenkrupp und Siemens zu stecken.
Die aktuellen Angriffe fanden während der Bürgerproteste in der chinesischen Metropole statt. Nach Analysen von ESET hatten es die Cyberspione auf sensible Informationen abgesehen. Für diese Kampagne setzen die Angreifer auf eine bisher unbekannte Variante der ShadowPad Backdoor. ESET konnte diese Attacken auf zwei Universitäten verhindern, weil die Machine-Learning-Technologie des europäischen IT-Sicherheitsherstellers anschlug. Die Security-Forscher vermuten aber, dass weitere Universitäten in Hongkong von den Angriffen betroffen waren.
„Die Schadprogramme, die an diesen Universitäten gefunden wurden, enthalten Indizien, die auf einen gezielten Angriff hinweisen“, sagt Mathieu Tartare, ESET Malware Researcher. „ShadowPad ist eine modulare Backdoor, die standardmäßig jeden Tastaturanschlag des infizierten Computers aufzeichnet. So können Angreifer sensible Informationen und Zugangsdaten stehlen.“
Gezielte Angriffe auf Universitäten
Bereits im November 2019 entdeckte die ESET-Machine-Learning-Technologie Augur ein bösartiges und bis dahin unbekanntes Schadprogramm auf mehreren Computern der betroffenen zwei Universitäten. Bei der verdächtigen Datei handelt es sich eigentlich um einen neuen 32-Bit ShadowPad-Starter. Bereits im Oktober fanden die ESET-Forscher eine Malware, die der Winnti-Gruppe zugeschrieben wird, auf den Computern der Universitäten. Das aktuell gefundene Schadprogramm enthält Kampagnenkennungen und C&C-URLs mit den Namen der Universitäten, was auf eine gezielte Attacke hinweist. Darüber hinaus vermuten die ESET-Forscher, dass noch mindestens drei weitere Universitäten in Hongkong im Visier der Cyberkriminellen waren.
Weitere Informationen:
Technische Details über die letzten Entdeckungen über die Winnti-Gruppe gibt es auf Welivesecurity.
www.eset.com/de