Компания ESET  сообщает об обнаружении нового модульного бэкдора, который использует группа киберпреступников Winnti для атак на разработчиков массовых сетевых онлайн-игр (ММО). Эта вредоносная программа под названием PipeMon нацелена на компании в Южной Корее и Тайване. Разработанные ими видеоигры доступны на популярных игровых платформах во всем мире и имеют тысячи одновременных игроков.

По меньшей мере в одной из компаний-разработчиков игр злоумышленники скомпрометировали сервер управления сборкой, что позволило им получить контроль над автоматизированными системами сборки. Таким образом киберпреступники могли модифицировать исполняемые файлы видеоигр. «Однако мы не имеем доказательств, что это произошло», — отмечает Матье Тартаре, исследователь ESET. В другом случае злоумышленник скомпрометировали игровые серверы компании. С помощью этой атаки киберпреступники могли манипулировать валютами в игре для получения финансовой выгоды. Компания ESET предоставила всю необходимую информацию и помощь атакованным компаниям для устранения угрозы.

«Многочисленные признаки позволили нам соотнести эту кампанию с группой Winnti. Некоторые домены командных серверов модульного бэкдора PipeMon было использовано в предыдущих кампаниях группы Winnti. Кроме этого, в 2019 году в одних и тех же компаниях было обнаружено другое вредоносное программное обеспечение группы Winnti, которое впоследствии было связано с PipeMon в атаках в 2020 году», — рассказывает Матье Тартаре.

Новый модульный бэкдор PipeMon подписан, вероятно, похищенным во время предыдущей атаки сертификатом и похож на уже известный бэкдор PortReuse. «Этот новый образец свидетельствует о том, что злоумышленники активно разрабатывают новые инструменты, используя несколько проектов с открытым кодом, и не полагаются только на свои флагманские бэкдоры — ShadowPad и вредоносное программное обеспечение под названием Winnti», — добавляет Матье Тартаре.

Стоит отметить, что специалисты ESET смогли отследить две разные версии PipeMon. Однако только в случае со второй версией удалось исследовать этап установки и обеспечения длительного пребывания в системе. 

Группа Winnti активная по меньшей мере с 2012 года и ответственная за атаки на разработчиков видеоигр и программного обеспечения с целью распространения троянизированных версий программ (например, CCleaner, ASUS LiveUpdate и нескольких видеоигр) и компрометации еще большего количества жертв. Недавно исследователи ESET также обнаружили кампанию группы, направленную на несколько университетов Гонконга, с использованием модульного бэкдора ShadowPad и вредоносного программного обеспечения Winnti.