Целый ряд публикаций на securelist.com посвящен серии APT атак, в ходе которых использовалось вредоносные программы Winnti и PlugX:
Полный отчет на английском языке доступен здесь.
Краткое содержание:
- целью атак были игровые компании;
- некоторые x64 компоненты трояна Winnti имели легальные цифровые подписи, что позволяло успешно устанавливать вредоносные DLL в среде 64-х разрядных операционных систем;
- злоумышленики располагали достаточным количеством украденных сертификатов;
- собственный протокол обмена информацией с командными серверами, использующий порты 53, 80, 443 с целю маскировки под трафик DNS и HTTP, впрочем, нестандартное содержимое пакетов являлось демаскирующим фактором;
- три основные схемы монетизации, которые могли быть использованы кибергруппировкой, стоящей за распространением Winnti:
- нечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги;
- кража исходников серверной части онлайн-игр для поиска уязвимостей в играх — далее см. пункт 1;
- кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов;
- исследование злоумышленниками зараженных систем «вручную»;
- использование для распространения достаточно простых методов, например, отправка exe файлов по почте в архивах с ипользованием спецсимволов «реверса» строки в имени файла;
- переориентация злоумышленников с одного вида ВПО (Winnti) на другое (PlugX) после осознания факта, что их присутствие обнаружено.