กลุ่มแฮกเกอร์ Winnti ยังคงมีเป้าหมายเป็นอุตสาหกรรมเกมส์ด้วย backdoor ใหม่
เมื่อต้นปี 2020 เราพบโมดูล backdoor ชื่อว่า PipeMon ที่อยู่ใน Print Processor และเคยถูกใช้โดยกลุ่มแฮกเกอร์ Winnti โจมตีบริษัทเกมส์หลายแห่งในเกาหลีใต้และไต้หวัน
มีอยู่หนึ่งเคสที่แฮกเกอร์แทรกซึมเข้าระบบ และสามารถทำการโจมตี Supply-Chain Attacks ได้ หรือการฝังโทรจันลงในไฟล์ Executable (EXE) หรือกรณีอื่นๆคือแทรกซึมเข้าเซิร์ฟเวอร์เกมส์ เพื่อสร้างเงินในเกมส์และนำไปทำเงินจริงๆได้
กลุ่มแฮกเกอร์ Winnti คาดว่าเริ่มปฏิบัติการตั้งแต่ปี 2012 เป็นผู้โจมตีบริษัทซอฟต์แวร์ ถนัดการฝังโทรจันลงในซอฟต์แวร์ของเป้าหมาย (Supply-Chain Attack) เช่น CCleaner, ASUS LiveUpdate และอีกหลายเกมส์ เพื่อเข้าถึงข้อมูล แต่ไม่นานมานี้พวกเขาก็โจมตีมหาวิทยาลัยในฮ่องกงหลายแห่งด้วย ShadowPad และมัลแวร์ Winnti
มีตัวชี้วัดหลายอย่างที่เชื่อมโยงกลุ่ม Winnti เช่น โดเมน C&C ที่ PipeMon ใช้ ทาง Winnti เคยใช้ในแผนการก่อน และองค์กรที่เคยมัลแวร์ของ Winnti ในปี 2019 เล่นงานก็โดน PipeMon เล่นงานเช่นกัน
Certificate ที่ใช้ลงทะเบียน PipeMon Installer ก็มีความเกี่ยวข้องกับบริษัทเกมส์ที่เคยโดนโจมตีเมื่อปี 2018 โดย Winnti
กลุ่ม Winnti ยังคงมีเป้าหมายเป็นผู้พัฒนาเกมส์ในเอเชีย ด้วย backdoor ใหม่ของพวกเขา และยังมีการพัฒนาเครื่องมือใหม่ๆจากโปรเจค Open Source นอกเหนือจาก ShadowPad และมัลแวร์ Winnti
Author: Mathieu Tartare, Martin Smolár
Source: https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
WeLiveSecurity Thai Edition's 
กลุ่มแฮกเกอร์ Winnti ยังคงมีเป้าหมายเป็นอุตสาหกรรมเกมส์ด้วย backdoor ใหม่
เมื่อต้นปี 2020 เราพบโมดูล backdoor ชื่อว่า PipeMon ที่อยู่ใน Print Processor และเคยถูกใช้โดยกลุ่มแฮกเกอร์ Winnti โจมตีบริษัทเกมส์หลายแห่งในเกาหลีใต้และไต้หวัน
มีอยู่หนึ่งเคสที่แฮกเกอร์แทรกซึมเข้าระบบ และสามารถทำการโจมตี Supply-Chain Attacks ได้ หรือการฝังโทรจันลงในไฟล์ Executable (EXE) หรือกรณีอื่นๆคือแทรกซึมเข้าเซิร์ฟเวอร์เกมส์ เพื่อสร้างเงินในเกมส์และนำไปทำเงินจริงๆได้
กลุ่มแฮกเกอร์ Winnti คาดว่าเริ่มปฏิบัติการตั้งแต่ปี 2012 เป็นผู้โจมตีบริษัทซอฟต์แวร์ ถนัดการฝังโทรจันลงในซอฟต์แวร์ของเป้าหมาย (Supply-Chain Attack) เช่น CCleaner, ASUS LiveUpdate และอีกหลายเกมส์ เพื่อเข้าถึงข้อมูล แต่ไม่นานมานี้พวกเขาก็โจมตีมหาวิทยาลัยในฮ่องกงหลายแห่งด้วย ShadowPad และมัลแวร์ Winnti
มีตัวชี้วัดหลายอย่างที่เชื่อมโยงกลุ่ม Winnti เช่น โดเมน C&C ที่ PipeMon ใช้ ทาง Winnti เคยใช้ในแผนการก่อน และองค์กรที่เคยมัลแวร์ของ Winnti ในปี 2019 เล่นงานก็โดน PipeMon เล่นงานเช่นกัน
Certificate ที่ใช้ลงทะเบียน PipeMon Installer ก็มีความเกี่ยวข้องกับบริษัทเกมส์ที่เคยโดนโจมตีเมื่อปี 2018 โดย Winnti
กลุ่ม Winnti ยังคงมีเป้าหมายเป็นผู้พัฒนาเกมส์ในเอเชีย ด้วย backdoor ใหม่ของพวกเขา และยังมีการพัฒนาเครื่องมือใหม่ๆจากโปรเจค Open Source นอกเหนือจาก ShadowPad และมัลแวร์ Winnti
Author: Mathieu Tartare, Martin Smolár
Source: https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
Translated by: Worapon H.
Share this:
Like this: