Группировка Winnti Group атаковала нескольких разработчиков видеоигр
22 мая 2020 года
Разработчики видеоигр подверглись кибератакам со стороны преступной группировки Winnti Group. Злоумышленники, предположительно, нацелены на похищение внутриигровых денег и вознаграждений.
Как сообщили специалисты из компании ESET, Winnti Group использовала новое модульное вредоносное ПО PipeMon, маскирующееся под программное обеспечение для обработки печати, в ходе атак на системы нескольких разработчиков массовых многопользовательских online-игр (MMO) в Южной Корее и Тайване.
По словам экспертов, по крайней мере в одной кампании преступники смогли скомпрометировать сервер оркестровки сборки разработчика и получили доступ к ключам автоматизированных систем сборки. Это могло привести ко взлому загружаемых исполняемых файлов видеоигры, но команда безопасности не смогла найти никаких доказательств подобных атак.
Вместо этого преступники, похоже, сосредоточились на компрометации серверов разработчиков игр для «манипулирования внутриигровыми валютами и получения финансовой выгоды».
Бэкдор PipeMon, подписанный с помощью похищенного сертификата Wemade IO, содержит модули, которые загружаются с использованием техники отражающей DLL-загрузки (Reflective DLL Loading). Помимо нового бэкдора эксперты обнаружили другие известные вредоносы Winnti, пользовательский сборщик учетных данных, доказательства злоупотребления целым рядом инструментов с открытым исходным кодом и ссылки на C&C-серверы группировки.
Специалисты обнаружили две версии PipeMon, в первой из которых отсутствовал установщик. Во второй был обнаружен установщик с загрузчиком, внедренным в каталог процессоров печати Windows. После регистрации вредоносной DLL-библиотеки PipeMon перезапускает службу диспетчера очереди печати для обеспечения персистентности, прежде чем записывать дополнительные модули и вредоносные исполняемые файлы во временный каталог файлов.
Зашифрованная полезная нагрузка затем распаковывается и прописывает себя в реестр перед установлением связи с C&C-сервером. Системная информация, включая имя компьютера, IP-адрес и версию ОС, собирается и отправляется на C&C-сервер с использованием шифрования RC4.
Источники[править]
Эта статья содержит материалы из статьи «Группировка Winnti Group атаковала нескольких разработчиков видеоигр», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.