Berüchtigte Winnti-Gruppe greift MMO-Anbieter an & verteilt Backdoors

Gebäude, Haus, Tür, Alt Bildquelle: Public Domain
Eine der berüchtigtsten Hacking-Gruppen der letzten zehn Jahre hat wie­der einmal zugeschlagen. Im Fokus standen diesmal Anbieter von Mas­si­vely Multiplayer Online Games (MMOs) und in der Folge natürlich auch deren Nutzer. Entdeckt wurden die Angriffe vom Security-Unternehmen Eset, das sie nach einigen Analysen auf eine Gruppe namens Winnti zurückführen konnte, so das US-Magazin Ars Technica. Diese Organisation kennt man in der Security-Szene inzwischen schon seit dem Jahr 2009. Winnti machte sich einen Namen damit, immer wieder recht komplexe Angriffe auf eine Vielzahl von Zielen durchzuführen. Im Visier standen bereits chinesische Journalisten und Menschenrechtler sowie die Regierung Thailands. Weiterhin wurden sensible Daten von zahlreichen Unternehmen, darunter Google, entwendet und ein Einbruch in die Zulieferkette Asus' sorgte dafür, dass eine halbe Million PCs des Herstellers mit einer Backdoor an Kunden ausgeliefert wurden.

In den jüngsten Attacken kommt eine Backdoor-Malware zum Einsatz, die von den Eset-Spezialisten auf den Namen PipeMon getauft wurde. Der Schadcode ist bisher völlig unbekannt gewesen und wohl auch nicht Teil einer schon existierenden Familie, aus der er abgeleitet wäre. Die Malware versteckt sich im Druck-Prozess von Windows-Systemen und kann dort auch Neustarts im vorherigen Zustand überleben.

Die Beste aller Tarnungen

Mit den Angriffen auf die MMO-Anbieter, die vor allem aus Südkorea und Taiwan stammen, versucht Winnti wohl an Ressourcen in den Spielen kommen, die sich anschließend verkaufen lassen. In einem Fall soll es der Gruppe dabei gelungen sein, die Produktionssysteme eines Entwickler-Studios zu kapern, so dass die Malware gut getarnt in den signierten Dateien versteckt werden könnte.

Weiterhin wurden Instanzen des Schadcodes gefunden, der mit einem noch gültigen Sicherheits-Zertifikat des Spieleentwicklers Nfinity Games ausgestattet war. Dieses hatten die Angreifer wahrscheinlich bei einem Einbruch in die Systeme des Unternehmens im Jahr 2018 gestohlen. Warum es dann jetzt noch gültig war, ist unklar. Auch hier sorgte die Signatur dafür, dass die eigentliche Malware von Schutzsystemen im Grunde nicht erkannt werden konnte.

Siehe auch:


Gebäude, Haus, Tür, Alt Gebäude, Haus, Tür, Alt Public Domain
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 07:35 Uhr Pemenol 15W DC-DC Boost-Buck Einstellbares USB-Spannungsversorgungsmodul, LCD Step Up/Down Modul für Abwärts Gerichtete Cvcc-Spannungserhöhungs-Spannungswandler mit GehäusePemenol 15W DC-DC Boost-Buck Einstellbares USB-Spannungsversorgungsmodul, LCD Step Up/Down Modul für Abwärts Gerichtete Cvcc-Spannungserhöhungs-Spannungswandler mit Gehäuse
Original Amazon-Preis
15,89
Im Preisvergleich ab
?
Blitzangebot-Preis
13,50
Ersparnis zu Amazon 15% oder 2,39

Video-Empfehlungen

Tipp einsenden