Malware

ไม่มีเกมส์ “Game Over” สำหรับกลุ่ม Winnti

กลุ่มแฮกเกอร์ Winnti ยังคงมีเป้าหมายเป็นอุตสาหกรรมเกมส์ด้วย backdoor ใหม่

กลุ่มแฮกเกอร์ Winnti ยังคงมีเป้าหมายเป็นอุตสาหกรรมเกมส์ด้วย backdoor ใหม่

เมื่อต้นปี 2020 เราพบโมดูล backdoor ชื่อว่า PipeMon ที่อยู่ใน Print Processor และเคยถูกใช้โดยกลุ่มแฮกเกอร์ Winnti โจมตีบริษัทเกมส์หลายแห่งในเกาหลีใต้และไต้หวัน

มีอยู่หนึ่งเคสที่แฮกเกอร์แทรกซึมเข้าระบบ และสามารถทำการโจมตี Supply-Chain Attacks ได้ หรือการฝังโทรจันลงในไฟล์ Executable (EXE) หรือกรณีอื่นๆคือแทรกซึมเข้าเซิร์ฟเวอร์เกมส์ เพื่อสร้างเงินในเกมส์และนำไปทำเงินจริงๆได้

กลุ่มแฮกเกอร์ Winnti คาดว่าเริ่มปฏิบัติการตั้งแต่ปี 2012 เป็นผู้โจมตีบริษัทซอฟต์แวร์ ถนัดการฝังโทรจันลงในซอฟต์แวร์ของเป้าหมาย (Supply-Chain Attack) เช่น CCleaner, ASUS LiveUpdate และอีกหลายเกมส์ เพื่อเข้าถึงข้อมูล แต่ไม่นานมานี้พวกเขาก็โจมตีมหาวิทยาลัยในฮ่องกงหลายแห่งด้วย ShadowPad และมัลแวร์ Winnti

มีตัวชี้วัดหลายอย่างที่เชื่อมโยงกลุ่ม Winnti เช่น โดเมน C&C ที่ PipeMon ใช้ ทาง Winnti เคยใช้ในแผนการก่อน และองค์กรที่เคยมัลแวร์ของ Winnti ในปี 2019 เล่นงานก็โดน PipeMon เล่นงานเช่นกัน

Certificate ที่ใช้ลงทะเบียน PipeMon Installer ก็มีความเกี่ยวข้องกับบริษัทเกมส์ที่เคยโดนโจมตีเมื่อปี 2018 โดย Winnti

กลุ่ม Winnti ยังคงมีเป้าหมายเป็นผู้พัฒนาเกมส์ในเอเชีย ด้วย backdoor ใหม่ของพวกเขา และยังมีการพัฒนาเครื่องมือใหม่ๆจากโปรเจค Open Source นอกเหนือจาก ShadowPad และมัลแวร์ Winnti

Author: Mathieu Tartare, Martin Smolár
Source:
https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
Translated by: Worapon H.

%d bloggers like this: