Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нового модульного бекдора, який використовує група кіберзлочинців Winnti для атак на розробників масових мережевих онлайн-ігор (ММО). Ця шкідлива програма під назвою PipeMon націлена на компанії в Південній Кореї та Тайвані. Розроблені ними відеоігри доступні на популярних ігрових платформах в усьому світі та мають тисячі одночасних гравців.
Щонайменше в одній із компаній-розробників ігор зловмисники скомпрометували сервер управління збіркою, що дозволило їм отримати контроль над автоматизованими системами збірки. Таким чином кіберзлочинці могли модифікувати виконувані файли відеоігор. «Однак ми не маємо доказів, що це сталося», – зазначає Матьє Тартаре, дослідник ESET. В іншому випадку зловмисники скомпрометували ігрові сервери компанії. За допомогою цієї атаки кіберзлочинці могли маніпулювати валютами в грі для отримання фінансової вигоди. Компанія ESET надала всю необхідну інформацію та допомогу атакованим компаніям для усунення загрози.
«Численні ознаки дозволили нам співвіднести цю кампанію з групою Winnti. Деякі домени командних серверів модульного бекдора PipeMon було використано в попередніх кампаніях групи Winnti. Крім цього, у 2019 році в одних і тих же компаніях було виявлено інше шкідливе програмне забезпечення групи Winnti, яке згодом було пов’язано з PipeMon в атаках у 2020 році», — розповідає Матьє Тартаре.
Новий модульний бекдор PipeMon підписаний, ймовірно, викраденим під час попередньої атаки сертифікатом та подібний до вже відомого бекдора PortReuse. «Цей новий зразок свідчить про те, що зловмисники активно розробляють нові інструменти, використовуючи кілька проектів з відкритим кодом, та не покладаються тільки на власні флагманські бекдори — ShadowPad та шкідливе програмне забезпечення під назвою Winnti», — додає Матьє Тартаре.
Варто зазначити, що спеціалісти ESET змогли відстежити дві різні версії PipeMon. Однак тільки у випадку з другою версією вдалося дослідити етап інсталяції та забезпечення тривалого перебування в системі. Детальнішу інформацію про обидві версії нового модульного бекдора можна знайти за посиланням.
Група Winnti активна щонайменше з 2012 року та відповідальна за атаки на розробників відеоігор та програмного забезпечення з метою розповсюдження троянізованих версій програм (наприклад, CCleaner, ASUS LiveUpdate та декількох відеоігор) та компрометації ще більшої кількості жертв. Нещодавно дослідники ESET також виявили кампанію групи, спрямовану на кілька університетів Гонконгу, з використанням модульного бекдора ShadowPad та шкідливого програмного забезпечення Winnti.