Les sociétés de jeux vidéo sont une fois de plus victimes du groupe de piratage Winnti, qui a utilisé un nouveau malware que les chercheurs ont nommé PipeMon et une nouvelle méthode pour atteindre la persistance.

PipeMon est une porte dérobée modulaire identifiée plus tôt cette année sur des serveurs appartenant à plusieurs développeurs de jeux en ligne massivement multijoueurs (MMO).

L’activité passée rattrape

L’activité de Winnti a été détectée dès 2011. La plupart de ses victimes proviennent de l’industrie des jeux vidéo et des logiciels, mais le groupe a également ciblé des organisations des secteurs de la santé et de l’éducation.

L’acteur de la menace est bien connu pour les attaques de la chaîne d’approvisionnement, les logiciels de Troie utilisés par des millions d’utilisateurs (Asus LiveUpdate, CCleaner) ou dans le secteur financier (NetSarang).

Des chercheurs de la société de cybersécurité ESET ont découvert en février une nouvelle porte dérobée associée à Winnti.‌ Deux variantes du logiciel malveillant ont été trouvées sur les serveurs de plusieurs développeurs de jeux en ligne massivement multijoueurs (MMO) de Corée du Sud et de Taïwan.

La société de sécurité connaît au moins un cas où l’acteur de la menace a pu compromettre le système de construction d’une victime. S’ils s’étaient infiltrés avec succès, Winnti aurait pu implanter des logiciels malveillants à l’intérieur de l’exécutable du jeu vidéo.

Dans un rapport publié aujourd’hui, ESET indique que la pile de preuves découvertes lors de ces attaques pointe directement vers Winnti. Malgré la nouveauté de PipeMon, la porte dérobée a été signée avec un certificat appartenant à une société de jeux vidéo que l’acteur menaçant a attaqué en 2018.

Cette confirmation n’est pas seule. Les pirates ont réutilisé certains domaines de commande et de contrôle (C2) observés dans d’autres campagnes et un voleur de connexion personnalisé qui avait déjà été vu par d’autres victimes de Winnti.

Rester actif sur le système

Des deux variantes PipeMon …

Voir la source de cette publication