Le groupe Winnti cible les universités de Hong Kong selon ESET

Prochain article

Les chercheurs d’ESET ont récemment découvert une nouvelle campagne menée par le groupe Winnti ciblant cette fois-ci les universités de Hong Kong. Le moteur de machine learning d’ESET a détecté un échantillon malveillant unique sur plusieurs ordinateurs appartenant à deux d’entre elles. Outre ces deux cas de compromission confirmés, ESET dispose d’indices selon lesquels au moins trois autres universités seraient concernées. Les cybercriminels avaient pour objectif de voler des informations à partir des machines des victimes. Cette campagne du groupe Winnti a eu lieu alors qu’une vague de protestation citoyenne déferlait sur Hong Kong, notamment dans les universités.

Le groupe Winnti est responsable de précédentes attaques très médiatisées contre les chaînes d’approvisionnement dans le secteur des logiciels et jeux vidéo, ainsi que d’attaques contre les secteurs de la santé et de l’enseignement. La dernière étude sur ce groupe confirme qu’il continue d’utiliser ses fameuses backdoors ShadowPad. Cependant, dans la campagne dirigée contre les universités de Hong Kong, le lanceur de ShadowPad a été remplacé par une nouvelle version simplifiée, détectée par les produits ESET sous le nom de Win32/Shadowpad.C.

« Détectés dans ces universités en novembre 2019, ShadowPad et Winnti contiennent tous deux des identifiants de campagne et des URL commande et contrôle correspondant au nom des universités, ce qui indique une attaque ciblée », explique Mathieu Tartare, chercheur ESET enquêtant sur le groupe Winnti.

« ShadowPad est une backdoor multi-modulaire et, par défaut, chaque frappe est enregistrée à l’aide du module Keylogger. L’utilisation de ce module par défaut indique que l’objectif des attaquants est de voler des informations sur les ordinateurs des victimes. En revanche, ce module n’était pas intégré dans les variantes décrites dans notre livre blanc », ajoute Mathieu Tartare.

Pour plus d’informations techniques sur la dernière découverte concernant le groupe Winnti, consultez l’article Winnti Group targeting universities in Hong Kong (Les universités de Hong Kong ciblées par le groupe Winnti) sur WeLiveSecurity.com. Par ailleurs, les chercheurs d’ESET ont récemment publié un livre blanc sur les dernières informations dont nous disposons sur l’arsenal du groupe Winnti. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.

Contact Presse:

Darina SANTAMARIA 01 86 27 00 39 darina.j@eset-nod32.fr

À propos d'ESET 
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.

Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/