Το νέο malware PipeMon χρησιμοποιεί επεξεργαστές εκτύπωσης Windows

[Δορυφορικα]

Οι εταιρείες βιντεοπαιχνιδιών είναι και πάλι θύματα της ομάδας hacking Winnti, η οποία χρησιμοποίησε νέο malware που οι ερευνητές ονόμασαν PipeMon και μια νέα μέθοδο για να επιτύχουν persistence.

Το PipeMon είναι ένα modular backdoor που εντοπίστηκε νωρίτερα αυτό το έτος σε servers που ανήκουν σε αρκετούς προγραμματιστές παιχνιδιών online multiplayer παιχνιδιών (MMO).

Η δραστηριότητα της Winnti έχει εντοπιστεί ήδη από το 2011. Τα περισσότερα θύματα προέρχονται από τη βιομηχανία βιντεοπαιχνιδιών και λογισμικού, αλλά η ομάδα στοχεύει επίσης οργανισμούς στους τομείς της υγειονομικής περίθαλψης και της εκπαίδευσης.

Η ομάδα είναι γνωστή για επιθέσεις αλυσίδας εφοδιασμού, σε εκατομμύρια χρήστες που χρησιμοποιούν λογισμικά όπως τα Asus LiveUpdate, CCleaner ή στον χρηματοπιστωτικό τομέα (NetSarang).

Ερευνητές στην εταιρεία cybersecurity ESET βρήκαν τον Φεβρουάριο μια νέα πόρτα που σχετίζεται με τη Winnti .‌ Δύο παραλλαγές του malwrae βρέθηκαν σε servers πολλαπλών multiplayer παιχνιδιών (MMO) από τη Νότια Κορέα και την Ταϊβάν.

Η εταιρεία ασφαλείας γνωρίζει τουλάχιστον μία περίπτωση όπου ο δράστης κατάφερε να θέσει σε κίνδυνο το σύστημα ενός θύματος. Αν είχαν διεισδύσει με επιτυχία, η Winnti θα μπορούσε να είχε εγκαταστήσει malware μέσα στο βιντεοπαιχνίδι.

Σε μια έκθεση σήμερα, η ESET λέει ότι ο σωρός των στοιχείων που ανακαλύφθηκαν σε αυτές τις επιθέσεις “δείχνει” ξεκάθαρα την Winnti. Παρά την καινοτομία του malware PipeMon, το backdoor υπογράφηκε με τη χρήση πιστοποιητικού που ανήκε σε εταιρεία βιντεοπαιχνιδιών που επιτέθηκε το 2018.

Αυτή η επιβεβαίωση δεν είναι μόνη. Οι hackers επαναχρησιμοποίησαν ορισμένα command and control (C2) domains που παρατηρήθηκαν σε άλλες καμπάνιες και έναν προσαρμοσμένο login stealer που είχε προηγουμένως δει σε άλλα θύματα της Winnti.

Παραμένει ενεργό στο σύστημα

Από τις δύο παραλλαγές του PipeMon που ανακαλύφθηκαν, οι ερευνητές θα μπορούσαν να διαπιστώσουν μόνο έναν τρόπο εγκατάστασης και επίτευξης persistence.

Για να βεβαιωθεί ότι το malware παραμένει ενεργό στα συστήματα, η Winnti χρησιμοποίησε Windows επεξεργαστές εκτύπωσης (DLL) που μετατρέπουν τα spooled data από μια «εργασία εκτύπωσης» σε μορφή αναγνώσιμη από μια οθόνη εκτύπωσης.

Ένας κακόβουλος DLL‌ loader πέφτει όπου βρίσκονται οι επεξεργαστές εκτύπωσης και εγγράφονται ως εναλλακτικός επεξεργαστής εκτύπωσης. Αυτό γίνεται τροποποιώντας μία από τις δύο τιμές μητρώου (το τυπογραφικό λάθος στο κλειδί μητρώου δεν επηρεάζει την εγκατάσταση):

Στη συνέχεια, το malware επανεκκινεί την υπηρεσία print spooler για να φορτώσει την κακόβουλη διαδικασία. Δεδομένου ότι η υπηρεσία ξεκινά κάθε φορά που ξεκινά ο υπολογιστής, επιτυγχάνεται persistence.

Η ESET σημειώνει ότι παρόμοια τεχνική παρατηρήθηκε με το πρόγραμμα λήψης DePriMon, αλλά οι ερευνητές πιστεύουν ότι ο τρόπος που το PipeMon λειτουργεί δεν έχει πραγματοποιηθεί πριν.

Σύμφωνα με την έρευνα, το PipeMon είναι ένα modular backdoor, όπου κάθε στοιχείο είναι ένα DLL με διαφορετική λειτουργικότητα.

Κρυπτογραφούνται στον δίσκο και κρύβονται κάτω από τα μη-ύποπτα ονόματα που βλέπετε παρακάτω. Οι προσαρμοσμένες εντολές μπορούν να φορτώσουν άλλα modules κατά παραγγελία.

• banner.bmp
• certificate.cert
• License.hwp
• JSONDIU7c9djE
• D8JNCKS0DJE
• B0SDFUWEkNCj.logN

Η ESET σημειώνει ότι η ενημερωμένη έκδοση για το PipeMon πιθανότατα γράφτηκε από το μηδέν, παρόλο που παρατήρησαν την ίδια δομή κώδικα.

Για την τελευταία δεκαετία, η Winnti αναπτύσσει το οπλοστάσιό της με κακόβουλα εργαλεία και πραγματοποιεί επιθέσεις εναντίον διαφόρων στόχων. Η προτίμησή της για εταιρείες παιχνιδιών και επιθέσεις αλυσίδας εφοδιασμού εξακολουθεί να είναι αξιοσημείωτη στην πιο πρόσφατη δραστηριότητά της.

Let's block ads! (Why?)

Πηγή Είδησης