Эксперты компании ESET сообщают, что хакерская группировка Winnti (она же Suckfly, APT41, Wicked Panda, Barium и так далее) известная своими атаками на разработчиков игр, взяла на вооружение новый бэкдор. В феврале 2020 года модульная малварь PipeMon была обнаружена в системах нескольких разработчиков многопользовательских онлайн-игр (MMO). Названия пострадавших компаний не раскрываются, но известно, что они базируются в Южной Корее и на Тайване, а их продукты доступы на популярных игровых платформах и имеют тысячи игроков.
Напомню, что по данным «Лаборатории Касперского» и ESET, Winnti уже много лет атакует разработчиков игр, реализуя таким образом атаки на цепочку поставок. К примеру, эксперты обнаруживали, что хакеры скомпрометировали как минимум две популярные игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.
Интересно, что согласно отчету компании FireEye от 2019 года, группировка атакует игровые компании даже не с целью кибершпионажа. Аналитики FireEye предполагают, что участники Winnti вообще компрометируют игровые компании в свободное от работы время, преследуя личную выгоду: занимаются хищением и манипуляциями с игровыми валютами.
В новом отчете, посвященном PipeMon, аналитики ESET пишут, что как минимум в одном случае члены Winnti сумели скомпрометировать систему сборки своей жертвы, то есть получили возможность реализовать атаку на цепочку поставок и могли заразить исполняемые файлы игры. В другом случае взломаны оказались игровые серверы, что позволяло злоумышленникам, к примеру, манипулировать внутриигровой валютой для получения финансовой выгоды.
Специалисты ESET связались со всеми пострадавшими компаниями и предоставили им всю необходимую информацию для устранения последствий атак.
Подчеркивается, что установить связь между PipeMon и группировкой Winnti было нетрудно. Так, некоторые из управляющих серверов малвари ранее использовались вредоносным ПО Winnti, что было зафиксировано в докладе экспертов об арсенале хак-группы. Кроме того, в 2019 году малварь Winnti была обнаружена в системах нескольких компаний, которые впоследствии были скомпрометированы уже при помощи PipeMon.
Также отмечается, что в новой кампании был задействован давно известный экспертам ворованный сертификат (Wemade IO), которым группировка пользуется далеко не впервые. Данный сертификат, использованный для подписи установщика PipeMon, модулей и дополнительных инструментов, связан с компанией, производящей видеоигры, которая была скомпрометирована хакерами еще в 2018 году. Очевидно, сертификат похитили именно тогда.
Исследователи ESET опубликовали детальный и развернутый технический анализ нового бэкдора, ознакомиться с которым можно здесь. Индикаторы компрометации уже выложены на GitHub.
Аналитики отмечают, что PipeMon весьма схож с бэкдором PortReuse, и этот новый вредонос доказывает, что группировка Winnti по-прежнему активно разрабатывает новые инструменты, используя для их создания ряд опенсорсных проектов. То есть группировка не полагается исключительно на свои флагманские бэкдоры (ShadowPad и Winnti), и не стоит на месте.