视频游戏开发者受到网络攻击的围攻他们试图从游戏中攫取

为了在游戏中获得现金和奖励，视频游戏开发者正受到Winnti集团的攻击。

周三，网络安全公司ESET发布了一份关于先进持续威胁(APT)组织的报告，该组织过去曾被发现实施过类似的攻击。

据该团队称，Winnti团队已经在位于韩国和台湾的几家大型多人在线(MMO)游戏开发商的系统上使用了一种新的模块化恶意软件。

这两家公司虽然没有透露名称，但已经设计了全球数千人玩的游戏。

ESET说，在至少一次战役中，威胁参与者能够破坏开发人员的构建编排服务器，这给了他们自动构建系统的关键。

反过来，这可能导致了电子游戏可下载的可执行文件被劫持或木马化，尽管团队没有找到任何这种攻击形式的证据。

相反，该组织似乎专注于损害游戏开发者的服务器，以“操纵游戏内的货币以获取经济利益”，ESET说。

正在使用的恶意软件名为PipeMon，这是一款模块化的后门软件，伪装成打印处理软件。

参见:此木马劫持您的智能手机发送攻击性短信

使用偷来的Wemade IO证书注销，后门包含使用反射加载技术加载的DLL模块。

这个新的后门程序与之前被发现的Winnti恶意软件，一个自定义的证书收割机，一系列开源工具的滥用，以及对Winnti集团的命令与控制(C2)服务器的引用一起被发现。

已经找到了两个版本的PipeMon，第一个版本缺少安装程序。然而，第二版(也是最新版本)显示了一个安装程序，其中一个滴管安装在Windows Print Processors目录中。一个恶意的DLL被注册，然后PipeMon重新启动print spooler服务，以在启动时保持持久性，然后将其他模块和恶意的可执行文件写入一个临时文件目录。

然后，在与C2建立联系之前，将加密的负载解包并将自己分配给注册中心。系统信息包括计算机名、IP地址和操作系统版本，使用RC4加密收集并发送到C2。PipeMon还为每个恶意模块建立单独的通信通道。

PipeMon的第二个版本与最初的版本类似，但是只将主DLL安装程序写入磁盘，安装程序将模块存储在注册表中。

ESET研究人员Mathieu Tartare说:“这个新的植入物表明，攻击者正在利用多个开源项目积极开发新的工具，而不仅仅依赖于他们的旗舰后门ShadowPad和Winnti。”

华为禁令时间表:中国公司批评美国新的出口管制“有害”

Winnti小组于2012年首次被发现。该威胁组织也被称为APT41、钡餐和黑蝇，此前曾被认为与韩国游戏公司Gravity遭受的攻击有关，并在2019年对游戏供应商发起了多次打击行动。

ESET补充说，APT可能要对一系列供应链攻击负责，这些攻击导致了Trojanized软件的分发，例如2017年的CCleaner和2019年的ASUS LiveUpdate。

塔尔塔雷说:“多项指标使我们把这次竞选活动归功于温蒂集团。PipeMon使用的一些C2域在之前的战役中被Winnti恶意软件使用。此外，2019年在一些公司发现了其他Winnti恶意软件，这些公司后来在2020年被发现与PipeMon有关。”

TechRepublic:生产性流行病:免费在线课程的搜索量上升了309%

ESET已经联系了受影响的公司，并帮助他们从受感染的服务器引导Winnti集团。此外，被盗证书的颁发者已经撤销了它。

在本月的其他安全新闻中，思科Talos的研究人员记录了基于dendroids的Android恶意软件WolfRAT的出现，该软件在攻击泰语用户时被追踪。研究人员怀疑这与间谍软件销售商Wolf Research有关。