ESET виявив бекдор, який використовується для атак на розробників
ESET виявив бекдор, який використовується для атак на розробників
ESET повідомляє про виявлення нового модульного бекдору, який використовує група кіберзлочинців Winnti для атак на розробників масових мережевих онлайн-ігор (ММО). Ця шкідлива програма під назвою PipeMon націлена на компанії в Південній Кореї та Тайвані. Розроблені ними відеоігри доступні на найпопулярніших ігрових платформах у всьому світі і мають тисячі одночасних гравців.
Принаймні в одній із компаній-розробників ігор зловмисники скомпрометували сервер керування збиранням, що дозволило їм отримати контроль над автоматизованими системами збирання. Таким чином кіберзлочинці могли модифікувати виконувані файли відеоігор. «Проте ми не маємо доказів, що це сталося», — зазначає дослідник ESET. В іншому випадку зловмисник скомпрометували ігрові сервери компанії. За допомогою цієї атаки кіберзлочинці могли маніпулювати валютами у грі для отримання фінансової вигоди. Компанія ESET надала всю необхідну інформацію та допомогу атакованим компаніям для усунення загрози.
«Численні ознаки дозволили нам співвіднести цю кампанію з групою Winnti. Деякі домени командних серверів модульного бекдора PipeMon були використані в попередніх кампаніях Winnti. Крім цього, у 2019 році в одних і тих же компаніях було виявлено інше шкідливе програмне забезпечення групи Winnti, яке згодом було пов'язане з PipeMon в атаках у 2020 році»..
Новий модульний бекдор PipeMon підписаний, ймовірно, викраденим під час попередньої атаки сертифікатом і схожий на вже відомий бекдор PortReuse. «Цей новий зразок свідчить про те, що зловмисники активно розробляють нові інструменти, використовуючи кілька проектів з відкритим кодом, і не покладаються тільки на свої флагманські бекдори». .
Слід зазначити, що фахівці ESET змогли відстежити дві різні версії PipeMon. Однак лише у випадку з другою версією вдалося дослідити етап встановлення та забезпечення тривалого перебування в системі.
Група Winnti активна щонайменше з 2012 року та відповідальна за атаки на розробників відеоігор та програмного забезпечення з метою поширення троянізованих версій програм (наприклад, CCleaner, ASUS LiveUpdate та кількох відеоігор) та компрометації ще більшої кількості жертв. Нещодавно дослідники ESET також виявили кампанію групи, спрямовану на кілька університетів Гонконгу, з використанням модульного бекдору ShadowPad та шкідливого програмного забезпечення Winnti.
