Специалисты китайской ИБ-компании QuoIntelligence (QuoINT) обнаружили новую малварь, нацеленную на внутреннюю сеть производителя игр Gravity (в частности разрабатывающего известную ММОРПГ Ragnarok Online).
Судя по всему, атаки на компанию имели место в начале 2020 года, и за ними стоит одна из крупнейших правительственных хак-групп Китая — Winnti (она же APT41, BARIUM, Blackfly). Пока неясно, удалось ли хакерам добиться успеха, и достигли ли атаки цели.
«Нам удалось извлечь файл конфигурации малвари и определить предполагаемую цель. В данном случае в конфигурацию была включена следующая строка: 0x1A0: GRAVITY. Основываясь на ранее известных фактах и целях группировки Winnti, мы считаем, что этот образец, вероятно, использовался для таргетированной компании против Gravity Co., Ltd., южнокорейской компании, выпускающей видеоигры», — пишут специалисты QuoINT.
Обнаруженной малвари дали название Winnti Dropper, то есть это разновидность вредоноса, которая первой заражает компьютер жертвы, а затем доставляет в систему другое вредоносное ПО.
По данным аналитиков QuoINT, направленная на Gravity кампания является последним на текущей момент инцидентом в длинной череде атак Winnti, нацеленных на индустрию видеоигр в целом и на игровые компании из Южной Кореи и Тайваня в частности.
Представители Gravity пока никак не прокомментировали выводы специалистов QuoINT.
Напомню, что по данным «Лаборатории Касперского» и ESET, Winnti уже много лет атакует разработчиков игр, реализуя таким образом атаки на цепочку поставок. К примеру, эксперты обнаруживали, что хакеры скомпрометировали как минимум две популярные игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.
Интересно, что согласно отчету компании FireEye от 2019 года, группировка атакует игровые компании не с целью кибершпионажа. Аналитики FireEye предполагают, что участники Winnti вообще компрометируют игровые компании в свободное от работы время, преследуя личную выгоду: занимаются хищением и манипуляциями с игровыми валютами.