Para peneliti dari ESET telah menemukan malware baru yang digunakan oleh Winnti Group untuk menargetkan beberapa perusahaan video game yang mengembangkan game MMO (massively multiplayer online).
Pada hari Rabu, ESET merilis laporan tentang kelompok advanced persistent threat (APT) yang pernah tertangkap melakukan serangan serupa di masa lalu.
Menurut tim peneliti, Winnti Group kini menggunakan malware modular baru pada sistem beberapa pengembang game massively multiplayer online (MMO) yang berlokasi di Korea Selatan dan Taiwan.
Perusahaan yang ditargetkan, meskipun tidak disebutkan namanya, telah merancang game yang dimainkan oleh ribuan orang di seluruh dunia.
ESET mengatakan bahwa dalam setidaknya satu operasi serangan, aktor penjahat siber dapat menyusupi server orkestra build developer, yang memberi mereka kunci untuk mengakses sistem build otomatis.
Hal tersebut tentu bisa menyebabkan executable dari video game yang dapat diunduh dibajak atau disusupi, meskipun tim peneliti saat ini tidak dapat menemukan bukti dari bentuk serangan ini.
“Untuk saat ini, kelompok hacker itu tampaknya berfokus pada menyusupi server developer game untuk memanipulasi terkait pembayaran/mata uang dalam game demi keuntungan finansial,” kata ESET.
Malware yang digunakan oleh kelompok hacker tersebut diidentifikasi dengan nama PipeMon, sebuah backdoor modular yang menyamar sebagai perangkat lunak print processing.
Backdoor ditandatangani menggunakan sertifikat Wemade IO curian, juga berisi modul DLL yang memuat penggunaan teknik pemuatan reflektif.
Backdoor baru yang ditemukan ini dikaitkan dengan malware Winnti Group yang sebelumnya terlihat, seperti fitur pencurian akun yang dikostumisasi, penyalahgunaan berbagai alat open source, dan referensi ke server command-and-control (C2) milik Winnti Group.
Dua versi PipeMon telah ditemukan, yang pertama tidak memiliki installer. Sedangkan, build kedua yang terbaru ini memiliki installer di mana dropper diinstal dalam direktori Windows Print Processors. DLL berbahaya terdaftar dan PipeMon kemudian me-restart layanan print spooler untuk mempertahankan persistensi saat sistem startup, sebelum memuat modul tambahan dan file executable berbahaya ke direktori file sementara.
Payload terenkripsi kemudian dieksekusi dan mendaftarkan dirinya sendiri ke registri sebelum membuat kontak dengan server C2. Informasi sistem, termasuk nama komputer, alamat IP, dan versi OS dikirim ke server C2 menggunakan enkripsi RC4. PipeMon juga membuat saluran komunikasi terpisah untuk setiap modul berbahayanya.
Versi kedua PipeMon mirip dengan yang versi sebelumnya, tetapi dengan tambahan pemuatan penginstal DLL utama ke disk, dengan modul yang disimpan dalam registri oleh penginstal.
Baca Juga: “Malware Android WolfRAT Targetkan Pengguna WhatsApp, LINE, dan Facebook Messenger“
“Implan baru ini menunjukkan bahwa para penyerang secara aktif mengembangkan alat-alat baru menggunakan beberapa proyek open source dan tidak hanya mengandalkan backdoor andalan mereka, ShadowPad dan Winnti,” kata peneliti ESET, Mathieu Tartare.
ESET telah menghubungi perusahaan terkait yang terkena dampak dan membantu mereka mem-boot Winnti Group dari server yang terinfeksi. Selain itu, saat ini dikabarkan penerbit sertifikat terkait telah mencabut validitas sertifikat curian yang digunakan dalam serangan ini.
