PipeMon

Por GoldSparrow em Backdoors

O Winnti Group é uma organização de criminosos cibernéticos que operam há quase uma década. Os primeiros traços da atividade do Grupo Winnti foram detectados em 2011. Esse grupo de hackers também é conhecido como APT41 (Ameaça Persistente Avançada). O Grupo Winnti tende a atingir empresas envolvidas no desenvolvimento de jogos e software. Geralmente, o Grupo Winnti se apropria indevidamente de um software genuíno e o arma para as suas campanhas ameaçadoras. Uma das ferramentas de hackers mais populares no seu arsenal é chamada de backdoor Winnti, de onde é derivado o nome do grupo.

Objetivo Principal do PipeMon

Uma das campanhas mais recentes do Grupo Winnti teve como alvo empresas de desenvolvimento de videogames localizadas na Coréia do Sul e Taiwan. As empresas em questão estão envolvidas no desenvolvimento de jogos MMO (Massive Multiplayer Online), que são bastante populares e têm usuários na casa dos milhares. Nesta operação, o Grupo Winnti usou uma nova ferramenta de hacking chamada PipeMon. Esse novo malware é um Trojan backdoor, que permite que os invasores assumam o controle do sistema visado e executem uma ampla variedade de ações. Além disso, o Trojan backdoor PipeMon é capaz de se espalhar lateralmente pela rede do sistema comprometido.

O Grupo Winnti usou o Trojan PipeMon para diferentes propósitos. A ameaça PipeMon permitiu que os seus operadores infectassem um servidor que pertencia ao seu alvo e alterasse a economia do jogo - isso inclui moeda, preços de itens, negócios etc. Os especialistas especulam que isso pode ser usado para gerar grandes quantidades de moeda no jogo, que os atacantes podem trocar por dinheiro real. Em uma operação ainda mais esperta, o Grupo Winnti conseguiu realizar um ataque à cadeia de suprimentos ao se infiltrar em um servidor usado para criar executáveis para várias atualizações. Isso pode permitir que os atacantes plantem um código corrompido nos executáveis de atualização.

Quais são as Consequências de um Ataque do PipeMon

Para obter persistência no host comprometido, o Trojan PipeMon injeta o seu código corrompido como um 'Processador de Impressão'. Isso significa que sempre que a vítima iniciar o serviço 'Print Spool', ela também lançará a ameaça PipeMon. Quando o malware PipeMon compromete o sistema visado com sucesso, ele se conecta ao servidor de C&C (Comando e Controle) dos invasores e aguarda instruções. O Trojan PipeMon é capaz de:

  • Listar arquivos e pastas presentes no sistema.
  • Coletar informações e credenciais sobre o RDP (Remote Desk Protocol).
  • Coletar dados sobre o software e o hardware do sistema.
  • Executar comandos remotos.

O Grupo Winnti é uma organização muito persistente e é provável que continuemos vendo as suas campanhas no futuro. É provável que o Grupo Winnti continue implantando o Trojan backdoor PipeMon nas suas operações ameaçadoras.

Tendendo

Mais visto

Carregando...