Невидимка в сети: Winnti прокладывает новые тропы кибершпионажа

С 2012 года китайская группа хакеров Winnti не перестаёт удивлять своим умением оставаться в тени, продолжая свои кибершпионские миссии по всему миру. Недавно исследователи из Trend Micro раскрыли, что Winnti освоили новый способ незаметного проникновения — с помощью вредоносного ПО под названием UNAPIMON. Этот метод позволяет им собирать данные, оставаясь невидимыми для систем обнаружения и антивирусов.

Winnti давно известны своими операциями против важных целей, включая государственные органы и крупные компании. С UNAPIMON они внедряют зловредный код в безобидно выглядящий процесс программного обеспечения VMware Tools, инициируя серию событий, которая в итоге приводит к сбору важной информации о системе.

Самое уникальное в UNAPIMON — это его способность скрытно загружаться в систему и работать из процесса «cmd.exe», оставаясь за пределами радаров большинства средств защиты. Эта вредоносная программа обходит традиционное обнаружение, изменяя стандартный процесс загрузки и работы библиотек DLL, удаляя за собой все следы.

UNAPIMON стоит особняком за свой нестандартный подход к обходу систем безопасности. Эта программа использует официальные инструменты отладки Microsoft для изменения процессов вызова функций, что позволяет ей манипулировать системными процессами, не привлекая внимания.