Billede: Screengrab af Angrebets hjemmeside
En berygtet Kinesiske cyber-spionage tøj kendt som Winnti Gruppen har overtrådt netværk af to spil-producenter og en gaming-platform i Asien til at omfatte en backdoor trojan inden for deres produkter.
To af kompromitteret produkter, der ikke længere omfatter den Kinesiske hackere’ bagdør, ifølge en rapport, der blev offentliggjort tidligere i dag med den slovakiske cyber-security ESET firma.
Men den tredje, et spil ved navn Angrebets –produceret af Thai udvikler Elektronik Ekstrem– er stadig skubbe opdateringer og tilgængelige for download i sin backdoored version på trods af ESET ‘ s bestræbelser på at anmelde spillet udvikler gennem forskellige kanaler siden februar.
Mens ESET ikke ønsker at nævne de to andre påvirket produkter, en inficeret fil-hash er inkluderet i ESET ‘ s rapport IOC (Indikatorer For Kompromis) afsnit peger på Garena gaming-platform som den anden påvirket produkt.
Navnet på den tredje påvirket produkt (et spil), er stadig ukendt.
“Vi har arbejdet med en af de berørte udviklere, og vi respekterede deres ønsker at være anonym, og håndtere situationen på deres ende,” Léveillé fortalte ZDNet i en e-mail. “For at være fair, at vi besluttede simpelthen at undgå at nævne navne på udgivere, der allerede er udbedret problemet.”
Som for bagdør sig selv, Léveillé sagde, at Winnti Gruppe modificeret eksekverbare af de tre produkter på en lignende måde.
Den skadelige kode er inkluderet i spil’ vigtigste eksekverbare, og det er dekrypteret på runtime og lanceret i udførelse i PC ‘ ens hukommelse, mens det oprindelige spil/gaming platform kører, som de skal.
“Dette kan antyde, at den malefactor ændret bygge en konfiguration snarere end kildekoden selv,” Léveillé sagde.
Forskeren fortalte også, ZDNet, at Winnti Gruppe synes at have brugt det normale spil opdateringer, som et middel til at skubbe den backdoored versioner til brugere, der er en grund til, at infektionen var ikke opdaget lige med det samme, og som indeholdt, at nå et stort antal brugere.
“På den lyse side, C&C [kommando og kontrol] – servere blev taget offline senere, og det begrænsede angreb,” Léveillé fortalte ZDNet.
Dette betyder, at med den bagdør stadig at være aktiv i Elektronik Extreme ‘ s Angreb spil, nye brugere, der bliver smittet til denne dag, men politiet vil ikke være i stand til at kontakte sin C&C-servere for at hente yderligere malware på inficerede værter.
“I betragtning af den popularitet af kompromitteret program, der er stadig ved at blive distribueret af dets udvikler, det ville ikke være overraskende, hvis antallet af ofre er i tiere eller hundreder af tusinder,” ESET forsker Marc-Etienne M. Léveillé sagde i dag.
Baseret på ESET ‘ s telemetri data, de fleste af ofrene er fra Asiatiske lande, hvilket ikke er overraskende, da spil er populære i regionen.
Billede: ESET
En særlig mærkværdighed var bagdør ville ikke køre på computere, hvor det lokale sprog indstillinger er enten Kinesisk eller Rusland (nogle computere blev inficeret i Rusland, fordi de brugte ikke-russiske sprog indstillinger).
Bagdør ‘ s rolle var at hente en anden fase trojan, som ESET sagde, at det var en omfangsrig DLL-fil. Forskere, der ikke var i stand til at analysere og se, hvad dette andet malware stamme er, som C&C-server, der kontrolleres denne fase nyttelast ville ikke vende tilbage yderligere filer til at udløse malware udførelse.
Fordi den oprindelige bagdør understøtter kun fire kommandoer og sin C&C-servere er nede, brugere er noget sikkert fra denne anden malware stamme, for tiden.
Men på grund af Angreb spil udviklere har undladt at rydde op på deres servere, Winnti Gruppe kunne implementere en ny ondsindet spil opdatere med en ny bagdør, der kommunikerer med et andet C&C server og re-aktivere alle tidligere inficerede brugere.
Angreb spillere rådes til at geninstallere deres systemer så hurtigt som muligt.
ESET er ikke sikker på, hvorfor Winnti Gruppe er rettet mod gamere, og hvad der er slutspil for denne kampagne, men gruppen har brugt kompromitteret spil i fortiden for at distribuere cyber-spionage malware. For eksempel, at det var så før i 2011.
Den Winnti Gruppe er en cyber-spionage tøj, der er kendt for at udføre disse former for hacks-kendt som supply-chain-angreb. En ProtectWise 401TRG 2018 rapport viser flere tidligere hændelser, sammen med deres sidste år til disposition for indsamling af code signing-certifikater fra hackede software-virksomheder i udarbejdelsen af fremtidige supply-chain-angreb.
Relaterede cyber-sikkerhed dækning:
Ransomware angreb på Israelske brugere ikke ynkeligt på grund af kodning errorMarriott CEO aktier post-mortem på sidste års hackEgypt regering har brugt Gmail tredjeparts-apps til phish activistsFacebook handler ukrainske browser udvidelse beslutningstagere for at skrabe bruger dataResearchers afdække ring på GitHub konti fremme 300+ backdoored appsCitrix afslører brud på sikkerheden af interne netværk
Malware kan nu unddrage cloud sikkerhed værktøjer TechRepublicCryptomining malware opdaget maskeret som Flash opdateringer, CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre