Cybersecurity Malware Threats

อุตสาหกรรมเกมส์ในภูมิภาคเอเชียยังคงตกเป็นเป้าหมายของอาชญากรไซเบอร์

อุตสาหกรรมเกมส์ของเอเชียกำลังตกเป็นเป้าหมายของแฮกเกอร์ รวมถึงประเทศไทย

ไม่ทราบ's avatar
โดย Worapon H.

เหล่านักพัฒนาเกมในภูมิภาคเอเชียยังคงตกเป็นเป้าหมายของมัลแวร์ที่แฝงอยู่ในซอฟต์แวร์

นี่ไม่ใช่ครั้งแรกที่อุตสาหกรรมเกมส์ตกเป็นเป้าหมายของแฮกเกอร์ที่พยายามเข้าถึงนักพัฒนาเกม ด้วยซอฟต์แวร์ที่ถูกฝังโค้ดลับเอาไว้ และนำไปแพร่กระจายมัลแวร์ ในปี 2013 Kaspersky Lab รายงานว่าพบเกมยอกนิยมเกมหนึ่งถูกมัลแวร์ฝังตัวอยู่ และทาง Kaspersky ขนานนามแฮกเกอร์กลุ่มนี้ว่า Winnti Group

นี่เป็นอีกครั้งที่นักวิจัยของ ESET พบ Supply-Chain Attack ของแฮกเกอร์ ซึ่งแทรกซึมเข้าหนึ่งแพลตฟอร์มเกมมิ่ง และอีกสองเกมส์ ซึ่งดูเหมือนว่าภูมิภาคเอเชียก็เป็นเป้าหมายหลัก จึงไม่แปลกใจเลยที่ทาง Kaspersky นั้นเขียนอธิบายไว้ว่า “Winnti — More than just a game”

หนึ่ง Backdoor กับสาม 3 เหตุการณ์

แม้ว่าตัวมัลแวร์จะแตกต่างกัน แต่ทั้ง 3 ซอฟต์แวร์นั้นโดนเล่นงานโดยโค้ด Backdoor อันเดียวกัน รวมทั้งกระบวนการเดียวกันในการเริ่มทำงาน ในตอนนี้สองซอฟต์แวร์ไม่มี Backdoor ตัวนี้แล้ว แต่เกม Infestation ฝีมือคนไทยโดย Electronics Extreme

การแพร่กระจาย

ข้อมูลตรวจจับของ ESET ชี้ให้เห็นว่าเป้าหมายส่วนใหญ่อยู่ในเอเชีย ซึ่งประเทศไทยเป็นพื้นที่ๆมีการแพร่กระจายมากที่สุด เนื่องจากตัวเกมยังคงให้บริการทำให้การแพร่กระจายยังคงดำเนินต่อไปเรื่อยๆ

สรุป

การโจมตีแบบ Supply-chain Attacks นั้นตรวจจับยากสำหรับผู้ใช้ เพราะเป็นไปไม่ได้ที่จะวิเคราะห์ทุกส่วนของซอฟต์แวร์ โดยเฉพาะที่เวลาที่มีอัพเดตสม่ำเสมอหรือจำเป็นต้องติดตั้ง ดังนั้นสิ่งที่เราทำได้ก็คือไว้ใจผู้ผลิตและผู้จัดจำหน่ายทำหน้าที่ตรวจสอบก่อนนำไปยื่นให้ถึงผู้ใช้

ผลิตภัณฑ์ของ ESET สามารถตรวจจับภัยคุกคามได้ในชื่อ Win32/HackedApp.Winnti.A, Win32/HackedApp.Winnti.B, the payload as Win32/Winnti.AG, and the second stage as Win64/Winnti.BN

Indicators of Compromise (IoCs)

Compromised file samples (Win32/HackedApp.Winnti.A and B)

SHA-1 Compile Time (UTC) RC4 key Payload SHA-1
7cf41b1acfb05064518a2ad9e4c16fde9185cd4b Tue Nov 13 10:12:58 2018 1729131071 8272c1f4
7f73def251fcc34cbd6f5ac61822913479124a2a Wed Nov 14 03:50:18 2018 19317120 44260a1d
dac0bd8972f23c9b5f7f8f06c5d629eac7926269 Tue Nov 27 03:05:16 2018 1729131071 8272c1f4

Payload Samples (Win32/Winnti.AG)

SHA-1 C&C server URL
a045939f53c5ad2c0f7368b082aa7b0bd7b116da https://bugcheck.xigncodeservice%5B.%5Dcom/Common/Lib/Common_bsod.php
a260dcf193e747cee49ae83568eea6c04bf93cb3 https://bugcheck.xigncodeservice%5B.%5Dcom/Common/Lib/Common_Include.php
dde82093decde6371eb852a5e9a1aa4acf3b56ba https://bugcheck.xigncodeservice%5B.%5Dcom/Common/Lib/common.php
8272c1f41f7c223316c0d78bd3bd5744e25c2e9f https://nw.infestexe%5B.%5Dcom/version/last.php
44260a1dfd92922a621124640015160e621f32d5 https://dump.gxxservice%5B.%5Dcom/common/up/up_base.php

Second stage samples (Win64/Winnti.BN)

Dropper delivered by api.goallbandungtravel[.]com.

SHA-1 Compile Time (UTC) C&C server URL prefix
4256fa6f6a39add6a1fa10ef1497a74088f12be0 2018-07-25 10:13:41 None
bb4ab0d8d05a3404f1f53f152ebd79f4ba4d4d81 2018-10-10 09:57:31 http://checkin.travelsanignacio%5B.%5Dcom

MITRE ATT&CK matrix

ID Description
T1195 Supply Chain Compromise
T1050 New Service
T1022 Data Encrypted
T1079 Multilayer Encryption
T1032 Standard Cryptographic Protocol (RC4, RC5)
T1043 Commonly Used Port (80,443)
T1009 Binary Padding

Author: Marc-Etienne M.Léveillé
Source: https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/
Translated by: Worapon H.