Группировка Winnti Group атаковала нескольких разработчиков видеоигр

[Artifact]

Злоумышленники, предположительно, нацелены на похищение внутриигровых денег и вознаграждений.

Разработчики видеоигр https://www.welivesecurity.com/2020/...-winnti-group/кибератакам со стороны преступной группировки Winnti Group. Злоумышленники, предположительно, нацелены на похищение внутриигровых денег и вознаграждений.
Как сообщили специалисты из компании ESET, Winnti Group использовала новое модульное вредоносное ПО PipeMon, маскирующееся под программное обеспечение для обработки печати, в ходе атак на системы нескольких разработчиков массовых многопользовательских online-игр (MMO) в Южной Корее и Тайване.
По словам экспертов, по крайней мере в одной кампании преступники смогли скомпрометировать сервер оркестровки сборки разработчика и получили доступ к ключам автоматизированных систем сборки. Это могло привести ко взлому загружаемых исполняемых файлов видеоигры, но команда безопасности не смогла найти никаких доказательств подобных атак.
Вместо этого преступники, похоже, сосредоточились на компрометации серверов разработчиков игр для «манипулирования внутриигровыми валютами и получения финансовой выгоды».
Бэкдор PipeMon, подписанный с помощью похищенного сертификата Wemade IO, содержит модули, которые загружаются с использованием техники отражающей DLL-загрузки (Reflective DLL Loading). Помимо нового бэкдора эксперты обнаружили другие известные вредоносы Winnti, пользовательский сборщик учетных данных, доказательства злоупотребления целым рядом инструментов с открытым исходным кодом и ссылки на C&C-серверы группировки.
Специалисты обнаружили две версии PipeMon, в первой из которых отсутствовал установщик. Во второй был обнаружен установщик с загрузчиком, внедренным в каталог процессоров печати Windows. После регистрации вредоносной DLL-библиотеки PipeMon перезапускает службу диспетчера очереди печати для обеспечения персистентности, прежде чем записывать дополнительные модули и вредоносные исполняемые файлы во временный каталог файлов.
Зашифрованная полезная нагрузка затем распаковывается и прописывает себя в реестр перед установлением связи с C&C-сервером. Системная информация, включая имя компьютера, IP-адрес и версию ОС, собирается и отправляется на C&C-сервер с использованием шифрования RC4.