كشف الباحثون في «إسيت» عن مجموعة Winnti التي تستهدف مطوري ألعاب الفيديو مرة أخرى
Thursday 21 May 2020 13:49 - الخميس ٢٩ رمضان ١٤٤١
كتب : صابر محمد
اكتشف الباحثون في «إسيت» بابًا خلفيًا معياريًا جديدًا تستخدمه مجموعة البرامج الضارة Winnti ضد العديد من شركات ألعاب الفيديو التي تطور ألعاب MMO (الألعاب الكثيفة العدد من اللاعبين على الإنترنت).
البرامج الضارة التي أطلقت عليها «إسيت» إسم PipeMon، استهدفت الشركات في كوريا الجنوبية وتايوان.
ألعاب الفيديو التي طورتها هذه الشركات موزعة في جميع أنحاء العالم، ومتاحة على منصات الألعاب الشهيرة، ولديها الآلاف من اللاعبين المتزامنين.
على أقل تقدير، قام القراصنة باختراق خادم تنسيق البنية للشركة، مما سمح لهم بالتحكم في أنظمة البناء الآلية للضحية.
يسمح لهم ذلك بترويج ملفات طروادة التنفيذية الضارة لألعاب الفيديو.
صرح "ماثيو تاغتغ"، باحث البرامج الضارة في شركة «إسيت» الذي يراقب مجموعة Winnti، وقال: "بالرغم من كل هذا، ليس لدينا دليل على حدوث ذلك ".
وفي حالة أخرى، قام القراصنة باختراق خوادم الألعاب الخاصة بالشركة.
في هذا الهجوم من الممكن التلاعب بالعملات داخل اللعبة لتحقيق مكاسب مالية. اتصلت «إسيت» بالشركات المتضررة وقدمت المعلومات والمساعدة اللازمة لإصلاح الأمر.
أضاف "ماثيو": "أدت المؤشرات المختلفة إلى نسب هذه الحملة إلى مجموعة Winnti. مجالات الأوامر والتحكم التي استخدمتها PipeMon هي نفسها المستخدمة من قبلWinnti في حملات سابقة. علاوة على ذلك، في عام 2019 تم العثور على برامج أخري ضارة من Winnti في بعض الشركات التي تم الاكتشاف فيما بعد بأنها تعرضت للاختراق من PipeMon في العام 2020".
هناك أوجه تشابه ملحوظة أخرى يستكشفها الباحثون. المعيار الجديد من PipeMon تم توقيعها بواسطة شهادة توقيع تعليمات برمجية من المحتمل أن تكون قد سرقت خلال حملة سابقة وتتشارك في أوجه التشابه مع هجمات الباب الخلفي PortReuse.
وقال "ماثيو": "يُظهر هذا النوع الجديد أن المهاجمين يعملون بنشاط على تطوير أدوات جديدة باستخدام العديد من المشاريع مفتوحة المصدر ولا يعتمدون فقط على خلفيتهم الرئيسية، ShadowPad و Winnti ".
وتمكنت «إسيت» من تتبع نوعين مختلفين من PipeMon. لمزيد من التفاصيل الفنية حول أحدث أبواب Winnti الخلفية، اقرأ مدونة المدونة "لا "انتهت اللعبة" لمجموعة Winnti" على موقع WeLiveSecurity. تأكد من متابعة أبحاث «إسيت»على تويتر للحصول على آخر الأخبار.
إن مجموعة البرامج الضارة Winnti النشطة منذ عام 2012 تقريبًا، مسؤولة عن مجموعة هجمات عالية المستوى ضد ألعاب الفيديو وصناعات البرمجيات، مما يؤدي إلى توزيع برامج طروادة (مثل CCleaner و ASUS LiveUpdate وألعاب الفيديو المتعددة) التي يتم استخدامها للضرر بمزيد من الضحايا.
اكتشف باحثو «إسيت» في الآونة الأخيرة حملة لمجموعة Winnti تستهدف العديد من جامعات هونج كونج باستخدام ShadowPad وبرامج Winnti الضارة.
تم استكشاف المزيد من التفاصيل حول ترسانة المجموعة في تقرير نُشر في أكتوبر 2019.