Злочинців виявили за допомогою служби ATP у Програмі Windows defender

Коли в грудні 2016 року німецький промисловий конгломерат повідомив, що на початку року піддався атаці, виявилося, що за зломом даних стояла професійна злочинна група, що займається промисловим шпигунством. За даними німецької преси, атака здійснювалася на базі впровадженого файлу з сімейства Winnti, який забезпечував зловмисникам постійний доступ до мережі конгломерату з лютого 2016 року.

Під катом ми розглянемо впроваджений шкідливий файл Winnti в тому вигляді, в якому він використовувався двома відомими злочинними групами BARIUM і LEAD. Ми подивимося, як вони впроваджували файл в різні системи, а також дізнаємося, з допомогою яких методів дослідники Microsoft його відстежували.



Читати далі →