Когда в декабре 2016 года немецкий промышленный конгломерат сообщил, что в начале года подвергся атаке, оказалось, что за взломом данных стояла профессиональная преступная группа, занимающаяся промышленным шпионажем. По данным немецкой прессы, атака осуществлялась на базе внедряемого файла из семейства [Winnti][1], который обеспечивал злоумышленникам постоянный доступ к сети конгломерата с февраля 2016 года.

Под катом мы рассмотрим внедренный вредоносный файл Winnti в том виде, в котором он использовался двумя известными преступными группами BARIUM и LEAD. Мы посмотрим, как они внедряли файл в различные системы, а также узнаем, с помощью каких методов исследователи Microsoft его отслеживали.

![][2]
[Читать дальше →][3]

[1]: https://aka.ms/habr_320980_1
[2]: https://habrastorage.org/files/02b/74e/5dc/02b74e5dc56e4e45a2275f43af3ca365.jpg
[3]: https://habrahabr.ru/post/320980/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut