WinDealer

Mazāk pazīstams ķīniešu valodā runājošs kibernoziedznieku grupējums veic uzbrukuma operācijas, kas uzlauztajās ierīcēs izvieto informāciju, kas zog ļaunprātīgu programmatūru. Hakeri no LuoYu grupas pārtver likumīgu lietotņu atjauninājumus un pārslēdz tos ar ļaunprātīgām slodzēm tā sauktajos uzbrukumos, kas tiek saukti par cilvēku uz sāniem. Lai inficēšanās noritētu veiksmīgi, apdraudējuma dalībnieki aktīvi uzrauga savu izvēlēto upuru tīkla trafiku. Kad tiek novērots pieprasījums pēc lietotnes atjauninājuma saistībā ar Āzijas tirgū populāriem programmatūras produktiem, piemēram, QQ, Wanga Wang vai WeChat, LuoYu hakeri tos aizstāj ar WInDealer ļaunprātīgas programmatūras instalētājiem.

Pēc izpildes upura Windows sistēmā WinDealer ļaus uzbrucējiem veikt plašu uzmācīgu un ļaunprātīgu darbību klāstu. Viena no draudu primārajām funkcijām ir saistīta ar konfidenciālu un sensitīvu datu ievākšanu un sekojošu izfiltrēšanu. Tomēr hakeri var arī paļauties uz WinDealer, lai instalētu specializētākus aizmugures durvju draudus, lai garantētu to noturību ierīcē. WinDealer var manipulēt ar failu sistēmu, meklēt papildu ierīces, kas savienotas ar to pašu tīklu, vai palaist patvaļīgas komandas.

Viena no draudiem raksturīgajām iezīmēm ir veids, kā tas sazinās ar savu Command-and-Control (C2, C&C) serveri. Tā vietā, lai izmantotu cieti kodētu C2 serveri, LuoYu kibernoziedznieki ir izveidojuši 48 000 IP adrešu kopu no Ķīnas Xizang un Guizhou provincēm. Draudi izveidos savienojumu ar nejauši izvēlētu ChinaNET (AS4134) IP adresi no šīs kopas. Kaspersky kiberdrošības pētnieki, kas izplatīja informāciju par LuoYu un WinDealer, uzskata, ka hakeri spēj izmantot šādu paņēmienu, pateicoties piekļuvei AS4134 kompromisa maršrutētājiem vai izmantojot ISP līmeņa tiesībaizsardzības rīkus. Vēl viena iespēja ir tāda, ka apdraudējuma dalībniekiem ir iekšējas metodes, kas plašākai sabiedrībai joprojām nav zināmas.