Эксперты компании ESET сообщают, что хакерская группировка Winnti (она же Suckfly, APT41, Wicked Panda, Barium и так далее) известная своими атаками на разработчиков игр, взяла на вооружение новый бэкдор. В феврале 2020 года модульная малварь PipeMon была обнаружена в системах нескольких разработчиков многопользовательских онлайн-игр (MMO). Названия пострадавших компаний не раскрываются, но известно, что они базируются в  Южной Корее и на Тайване, а их продукты доступы на популярных игровых платформах и имеют тысячи игроков.

Напомню, что по данным «Лаборатории Касперского» и ESET, Winnti уже много лет атакует разработчиков игр, реализуя таким образом атаки на цепочку поставок. К примеру, эксперты обнаруживали, что хакеры скомпрометировали как минимум две популярные игры и одну игровую платформу, из-за чего пострадали десятки или даже сотни тысяч пользователей.

Интересно, что согласно отчету компании FireEye от 2019 года, группировка атакует игровые компании даже не с целью кибершпионажа. Аналитики FireEye предполагают, что участники Winnti вообще компрометируют игровые компании в свободное от работы время, преследуя личную выгоду: занимаются хищением и манипуляциями с игровыми валютами.

В новом отчете, посвященном PipeMon, аналитики ESET пишут, что как минимум в одном случае члены Winnti сумели скомпрометировать систему сборки своей жертвы, то есть получили возможность реализовать атаку на цепочку поставок и могли заразить исполняемые файлы игры. В другом случае взломаны оказались игровые серверы, что позволяло злоумышленникам, к примеру, манипулировать внутриигровой валютой для получения финансовой выгоды.

Специалисты ESET связались со всеми пострадавшими компаниями и предоставили им всю необходимую информацию для устранения последствий атак.

Подчеркивается, что установить связь между PipeMon и группировкой Winnti было нетрудно. Так, некоторые из управляющих серверов малвари ранее использовались вредоносным ПО Winnti, что было зафиксировано в докладе экспертов об арсенале хак-группы. Кроме того, в 2019 году малварь Winnti была обнаружена в системах нескольких компаний, которые впоследствии были скомпрометированы уже при помощи PipeMon.

Также отмечается, что в новой кампании был задействован давно известный экспертам ворованный сертификат (Wemade IO), которым группировка пользуется далеко не впервые. Данный сертификат, использованный для подписи установщика PipeMon, модулей и дополнительных инструментов, связан с компанией, производящей видеоигры, которая была скомпрометирована хакерами еще в 2018 году. Очевидно, сертификат похитили именно тогда.

Исследователи ESET опубликовали детальный и развернутый технический анализ нового бэкдора, ознакомиться с которым можно здесь. Индикаторы компрометации уже выложены на GitHub.

Аналитики отмечают, что PipeMon весьма схож с бэкдором PortReuse, и этот новый вредонос  доказывает, что группировка Winnti по-прежнему активно разрабатывает новые инструменты, используя для их создания ряд опенсорсных проектов. То есть группировка не полагается исключительно на свои флагманские бэкдоры (ShadowPad и Winnti), и не стоит на месте.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии