Bild: Screengrab av Angrepp hemsida
En ökänd Kinesiska it-spionage outfit känd som Winnti Grupp har brutit mot de nätverk av två speltillverkare och ett spel plattform i Asien till att omfatta en bakdörr trojan inom sina produkter.
Två av de infekterade produkter som inte längre har den Kinesiska hackare ” bakdörr, enligt en rapport som publicerades tidigare i dag av slovakiska it-säkerhetsföretaget ESET.
Men den tredje, ett spel som heter Angrepp –producerad av Thailändska utvecklare Elektronik Extrema– är fortfarande trycka uppdateringar och finns att ladda ner i sin backdoored version trots ESET: s ansträngningar för att meddela det spelet utvecklare via olika kanaler sedan februari.
Medan ESET inte vill namnge de andra två produkter negativt, en infekterad fil hash ingår i ESET rapport IOK (Indikatorer Av Kompromiss) avsnitt pekar finger på Garena-gaming-plattform som andra påverkas produkt.
Namnet på den tredje påverkat produkt (ett spel) är fortfarande okänd.
“Vi har samarbetat med en av de drabbade utvecklare, och vi respekterade deras önskan att vara anonym och hantera situationen på slutet,” Léveillé berättade ZDNet i ett e-postmeddelande. “För att vara rättvis, vi bestämde oss för att helt enkelt undvika att nämna namn på förlag som redan sanerade frågan.”
För bakdörr själv, Léveillé sade att Winnti Grupp modifierade verkställare av de tre produkter på ett liknande sätt.
Skadlig kod som ingår i spel huvudsakliga körbara, och det är dekrypteras vid körning och lanseras i utförande i datorns minne, medan den ursprungliga spel/gaming-plattform som fungerar som avsett.
“Detta kan tyda på att lagbrytaren förändrats bygga konfiguration snarare än själva källkoden,” Léveillé sagt.
Forskaren berättade också ZDNet att Winnti Grupp tycks ha använt den normala uppdateringar spelet som ett sätt att driva den backdoored versioner till användare, en anledning till varför infektionen var inte upptäckte direkt och innehöll, att nå ett stort antal användare.
“På den ljusa sidan, C&C [kommando-och-kontroll] servrar togs offline senare och denna begränsade angrepp,” Léveillé berättade ZDNet.
Detta innebär att med backdoor fortfarande att vara aktiv i Elektronik Extreme Angrepp spel, nya användare blir infekterade med denna dag, men bakdörr kommer inte att kunna kontakta sin C&C-servrar för att hämta ytterligare skadlig programvara på infekterade värdar.
“Med tanke på populariteten av äventyras program som fortfarande delas ut av sina utvecklare, det skulle inte vara förvånande om antalet offer är i tio-eller hundratusentals,” ESET forskaren Marc-Etienne M. Léveillé sade i dag.
Baserat på ESET: s telemetri data, de flesta av offren är i de Asiatiska länderna, vilket inte är förvånande eftersom de spel som är populära i regionen.
Bild: ESET
En särskild egenhet var bakdörr skulle inte köras på datorer där det lokala språket inställningar var antingen Kinesiska eller Ryska (i vissa datorer som var smittade i Ryssland eftersom de används för icke-ryska språket inställningar).
Backdoor: s roll var att hämta ett andra skede trojan som ESET sa att det var en skrymmande DLL-fil. Forskarna inte kunde analysera och se vad detta andra malware stam, som C&C-servern som kontrollerade den andra etappen av nyttolasten skulle inte återvända ytterligare filer för att utlösa skadlig kod för utförandet.
Eftersom den ursprungliga bakdörr stöder endast fyra kommandon och C&C-servrar är nere, användare finns något säkert från denna andra malware stam, för en tid.
Men eftersom Angrepp spel devs har misslyckats med att städa upp sina servrar, Winnti Grupp kan driftsätta en ny skadlig spel uppdatera med en ny bakdörr som kommunicerar med en annan C&C-server och aktivera alla tidigare infekterade användare.
Angrepp spelare rekommenderas att installera sitt system så snart som möjligt.
ESET är inte säker på varför Winnti Gruppen är inriktade spelare och vad är det slutspel för denna kampanj, men koncernen har används äventyras spel i det förflutna för att distribuera it-spionage malware. Till exempel, det gjorde så innan 2011.
Den Winnti Group är ett it-spionage outfit som är känd för att utföra sådana typer av hacks –känd som supply-chain-attacker. En ProtectWise 401TRG 2018 rapporten listar flera tidigare händelser, tillsammans med deras förra årets anlag för att samla in koden signeringscertifikat från hackade programvara för företag i utarbetandet av framtida supply-chain-attacker.
Relaterade it-säkerhet täckning:
Ransomware attack mot Israeliska användare misslyckas kapitalt på grund av kodning errorMarriott VD aktier efter slakt på förra årets hackEgypt regeringen använt Gmail tredje part apps för att phish activistsFacebook stämmer ukrainska webbläsare förlängning beslutsfattare för att skrapa användaren dataResearchers avslöja ring av GitHub konton främja 300+ backdoored appsCitrix avslöjar brott mot säkerheten i interna nätverk
Malware kan nu undgå cloud security verktyg TechRepublicCryptomining malware upptäckt maskerad som Flash uppdateringar CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter