Угруповання Winnti Group атакувала декількох розробників відеоігор

Угруповання Winnti Group атакувала декількох розробників відеоігор

    Розробники відеоігор зазнали кібератаки з боку злочинного угруповання Winnti Group. Зловмисники, імовірно, націлені на викрадення внутрішньоігрових грошей і винагород.

    Як повідомили фахівці з компанії ESET, Winnti Group використовувала нове модульне шкідливе ПЗ PipeMon, що маскується під програмне забезпечення для обробки друку, в ході атак на системи кількох розробників масових багатокористувацьких online-ігор (MMO) в Південній Кореї і Тайвані.

    За словами експертів,  в одній кампанії злочинці змогли скомпрометувати сервер збірки розробника і отримали доступ до ключів автоматизованих систем збирання. Це могло призвести до злому виконуваних файлів відеоігри що завантажуються, але команда безпеки не змогла знайти жодних доказів подібних атак.

   Замість цього злочинці, схоже, зосередилися на компрометації серверів розробників ігор для «маніпулювання внутрішньоігровими валютами і отримання фінансової вигоди».

    Бекдор PipeMon, підписаний за допомогою викраденого сертифіката Wemade IO, містить модулі, які завантажуються з використанням техніки  що захищає від DLL-завантаження (Reflective DLL Loading). Крім нового бекдора експерти виявили інший відомий шкідник  Winnti,  збиральник облікових даних користувача, докази зловживання цілим рядом інструментів з відкритим вихідним кодом і посилання на C & C-сервери угруповання.

    Фахівці виявили дві версії PipeMon, в першій з яких був відсутній установник. У другій був виявлений установник з завантажувачем, впровадженим в каталог процесорів друку Windows. Після реєстрації шкідливої DLL-бібліотеки PipeMon перезапускає службу диспетчера черги друку для забезпечення персистентності, перш ніж записувати додаткові модулі і шкідливі виконувані файли в тимчасовий каталог файлів.

   Зашифроване корисне навантаження потім розпаковується і прописує себе в реєстр перед встановленням зв'язку з C & C-сервером. Системна інформація, включаючи ім'я комп'ютера, IP-адреса і версію ОС, збирається і відправляється на C & C-сервер з використанням шифрування RC4.

12:43
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|