Πέμπτη, 28 Μαΐου, 22:36
Αρχική security Το νέο malware PipeMon χρησιμοποιεί επεξεργαστές εκτύπωσης Windows

Το νέο malware PipeMon χρησιμοποιεί επεξεργαστές εκτύπωσης Windows

Οι εταιρείες βιντεοπαιχνιδιών είναι και πάλι θύματα της ομάδας hacking Winnti, η οποία χρησιμοποίησε νέο malware που οι ερευνητές ονόμασαν PipeMon και μια νέα μέθοδο για να επιτύχουν persistence.

Το PipeMon είναι ένα modular backdoor που εντοπίστηκε νωρίτερα αυτό το έτος σε servers που ανήκουν σε αρκετούς προγραμματιστές παιχνιδιών online multiplayer παιχνιδιών (MMO).

malware PipeMon

Η δραστηριότητα της Winnti έχει εντοπιστεί ήδη από το 2011. Τα περισσότερα θύματα προέρχονται από τη βιομηχανία βιντεοπαιχνιδιών και λογισμικού, αλλά η ομάδα στοχεύει επίσης οργανισμούς στους τομείς της υγειονομικής περίθαλψης και της εκπαίδευσης.

Η ομάδα είναι γνωστή για επιθέσεις αλυσίδας εφοδιασμού, σε εκατομμύρια χρήστες που χρησιμοποιούν λογισμικά όπως τα Asus LiveUpdate, CCleaner ή στον χρηματοπιστωτικό τομέα (NetSarang).

Ερευνητές στην εταιρεία cybersecurity ESET βρήκαν τον Φεβρουάριο μια νέα πόρτα που σχετίζεται με τη Winnti .‌ Δύο παραλλαγές του malwrae βρέθηκαν σε servers πολλαπλών multiplayer παιχνιδιών (MMO) από τη Νότια Κορέα και την Ταϊβάν.

Η εταιρεία ασφαλείας γνωρίζει τουλάχιστον μία περίπτωση όπου ο δράστης κατάφερε να θέσει σε κίνδυνο το σύστημα ενός θύματος. Αν είχαν διεισδύσει με επιτυχία, η Winnti θα μπορούσε να είχε εγκαταστήσει malware μέσα στο βιντεοπαιχνίδι.

Σε μια έκθεση σήμερα, η ESET λέει ότι ο σωρός των στοιχείων που ανακαλύφθηκαν σε αυτές τις επιθέσεις “δείχνει” ξεκάθαρα την Winnti. Παρά την καινοτομία του malware PipeMon, το backdoor υπογράφηκε με τη χρήση πιστοποιητικού που ανήκε σε εταιρεία βιντεοπαιχνιδιών που επιτέθηκε το 2018.

Αυτή η επιβεβαίωση δεν είναι μόνη. Οι hackers επαναχρησιμοποίησαν ορισμένα command and control (C2) domains που παρατηρήθηκαν σε άλλες καμπάνιες και έναν προσαρμοσμένο login stealer που είχε προηγουμένως δει σε άλλα θύματα της Winnti.

Παραμένει ενεργό στο σύστημα

Από τις δύο παραλλαγές του PipeMon που ανακαλύφθηκαν, οι ερευνητές θα μπορούσαν να διαπιστώσουν μόνο έναν τρόπο εγκατάστασης και επίτευξης persistence.

Για να βεβαιωθεί ότι το malware παραμένει ενεργό στα συστήματα, η Winnti χρησιμοποίησε Windows επεξεργαστές εκτύπωσης (DLL) που μετατρέπουν τα spooled data από μια «εργασία εκτύπωσης» σε μορφή αναγνώσιμη από μια οθόνη εκτύπωσης.

Ένας κακόβουλος DLL‌ loader πέφτει όπου βρίσκονται οι επεξεργαστές εκτύπωσης και εγγράφονται ως εναλλακτικός επεξεργαστής εκτύπωσης. Αυτό γίνεται τροποποιώντας μία από τις δύο τιμές μητρώου (το τυπογραφικό λάθος στο κλειδί μητρώου δεν επηρεάζει την εγκατάσταση):

Στη συνέχεια, το malware επανεκκινεί την υπηρεσία print spooler για να φορτώσει την κακόβουλη διαδικασία. Δεδομένου ότι η υπηρεσία ξεκινά κάθε φορά που ξεκινά ο υπολογιστής, επιτυγχάνεται persistence.

Η ESET σημειώνει ότι παρόμοια τεχνική παρατηρήθηκε με το πρόγραμμα λήψης DePriMon, αλλά οι ερευνητές πιστεύουν ότι ο τρόπος που το PipeMon λειτουργεί δεν έχει πραγματοποιηθεί πριν.

Σύμφωνα με την έρευνα, το PipeMon είναι ένα modular backdoor, όπου κάθε στοιχείο είναι ένα DLL με διαφορετική λειτουργικότητα.

Κρυπτογραφούνται στον δίσκο και κρύβονται κάτω από τα μη-ύποπτα ονόματα που βλέπετε παρακάτω. Οι προσαρμοσμένες εντολές μπορούν να φορτώσουν άλλα modules κατά παραγγελία.

  • banner.bmp
  • certificate.cert
  • License.hwp
  • JSONDIU7c9djE
  • D8JNCKS0DJE
  • B0SDFUWEkNCj.logN

Η ESET σημειώνει ότι η ενημερωμένη έκδοση για το PipeMon πιθανότατα γράφτηκε από το μηδέν, παρόλο που παρατήρησαν την ίδια δομή κώδικα.

Για την τελευταία δεκαετία, η Winnti αναπτύσσει το οπλοστάσιό της με κακόβουλα εργαλεία και πραγματοποιεί επιθέσεις εναντίον διαφόρων στόχων. Η προτίμησή της για εταιρείες παιχνιδιών και επιθέσεις αλυσίδας εφοδιασμού εξακολουθεί να είναι αξιοσημείωτη στην πιο πρόσφατη δραστηριότητά της.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Οι αναβαθμίσεις και τα νέα χαρακτηριστικά των Windows 10 2004!

Από σήμερα ξεκίνησε η κυκλοφορία της νέας ενημερωμένης έκδοσης των Windows 10, γνωστή ως "Windows 10 2004" ή "Windows 10 May 2020",...

Ποιες είναι οι αγαπημένες γλώσσες προγραμματισμού για το 2020;

Το Stack Overflow, ένα από τα μεγαλύτερα sites για programming Q&A, ανακοίνωσε τα αποτελέσματα από το Developer...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που...

Instagram: Ενίσχυση εισοδήματος δημιουργών με διαφημίσεις στο IGTV

To Instagram φέρνει διαφημίσεις και στο IGTV, με το 55% των εσόδων να διατίθεται στους δημιουργούς. Το μέσο κοινωνικής δικτύωσης έκανε την...

Τα Windows 10 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3

Η Microsoft ανακοίνωσε ότι τα Windows 10, έκδοση 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3 για gigabit ταχύτητες και καλύτερη απόδοση,...

Το CoreOS Container Linux της Red Hat φτάνει στο τέλος του

Όπως ανακοινώθηκε πρόσφατα από τον Benjamin Gilbert, τεχνικό του Fedora CoreOS, η υποστήριξη του CoreOS Container Linux,...

Ο Donald Trump απειλεί να κλείσει τις πλατφόρμες κοινωνικής δικτύωσης

Όπως δήλωσε σε ένα πρόσφατο tweet του, ο Πρόεδρος των ΗΠΑ Donald Trump, σκοπεύει να αλλάξει τον...

Αγωγή στη Google για τις πρακτικές παρακολούθησης χρηστών

Η Google δέχτηκε μια αγωγή από τον γενικό εισαγγελέα της Αριζόνα, Mark Brnovich, σχετικά με τις πρακτικές...

Michigan State University: Δέχτηκε ransomware επίθεση!

Οι hackers που βρίσκονται πίσω από το NetWalker ransomware, γνωστό και ως Mailto, ανακοίνωσαν ότι έχουν μολύνει...

Linux Kodachi: Κυκλοφόρησε η έκδοση v7.0 με πολλές νέες εφαρμογές

Πρόσφατα, κυκλοφόρησε η νέα έκδοση του Linux Kodachi. Αν και δεν είναι αρκετά γνωστό, το λειτουργικό αυτό...