(Foto av Christian Petersen / Getty Images)En ökänd hackinggrupp har hittats på flera spelbolag i Asien och åtminstone en av attackerna som kan sprida skadlig kod till användarnas maskiner.
På torsdag publicerade säkerhetsföretaget ESET ny forskning om hur "Winnti Group" framgångsrikt har infiltrerat spelservrar bakom populära MMO-titlar (Massively Multiplayer Online).
ESET avstod från att namnge de drabbade spelföretagen, men sa att de var baserade i Sydkorea och Asien.
"Videospel som utvecklats av dessa företag distribueras över hela världen, finns på populära spelplattformar och har tusentals samtidiga spelare", tillade antivirusleverantören.
I åtminstone en attack lyckades hackarna att kapa spelbolagets "bygga orkestrationsserver", vilket gjorde det möjligt för dem att plantera skadlig programvara inuti videospelens körbara filer.
ESET har emellertid inte upptäckt några bevis för att hackarna någonsin bestämt sig för att fälla programfilerna.
I en annan attack uppnådde hackarna förmågan att manipulera den virtuella valutan i ett spel för sin egen ekonomiska fördel.
ESETs forskare avslöjade attackerna när skadlig kod upptäcktes på spelföretagens servrar.
Hur den skadliga koden, som kallas PipeMon, lyckades exakt glida in i systemen är inte helt tydlig.
Men skadlig programvara kan maskeras som programnamn inklusive setup.exe tillsammans med slack.exe, den körbara för chattjänsten Slack på arbetsplatsen.
(Kredit: ESET) Hackarna lyckades också stjäla och införliva kodsigneringscertifikat från en legitim spelleverantör i PipeMon.
Som ett resultat kunde skadlig programvara kringgå säkerhetsskyddet på Windows vid installationen.
(Kredit: ESET) "Flera indikatorer fick oss att tillskriva denna kampanj till Winnti-gruppen", säger ESET-forskare Mathieu Tartare i ett uttalande.
”En del av de kommando- och kontrolldomäner som PipeMon använde användes av Winnti-skadlig programvara i tidigare kampanjer.
Vidare hittades andra skadliga program från Winnti under några av samma företag som senare upptäcktes komprometterade med PipeMon 2020.
”
Den goda nyheten är att ESET har kontaktat alla berörda spelföretag och gett vägledning om hur man tar bort skadlig kod.
De stulna kodsigneringscertifikaten har också återkallats.
Men Winnti-gruppen kommer nästan säkert att slå igen.
Hackingbesättningen, som möjligen är baserad i Kina, har en lång historia av att infiltrera videospelföretag för att stjäla källkod och kodsigneringscertifikat.
ESET anklagar också Winnti-gruppen för att ha brutit sig in i Avasts CCleaner och PC-leverantör Asus redan 2017 och 2019 för att plantera skadlig programvara i sina program som används av miljontals kunder.
(Foto av Christian Petersen / Getty Images)En ökänd hackinggrupp har hittats på flera spelbolag i Asien och åtminstone en av attackerna som kan sprida skadlig kod till användarnas maskiner.
På torsdag publicerade säkerhetsföretaget ESET ny forskning om hur "Winnti Group" framgångsrikt har infiltrerat spelservrar bakom populära MMO-titlar (Massively Multiplayer Online).
ESET avstod från att namnge de drabbade spelföretagen, men sa att de var baserade i Sydkorea och Asien.
"Videospel som utvecklats av dessa företag distribueras över hela världen, finns på populära spelplattformar och har tusentals samtidiga spelare", tillade antivirusleverantören.
I åtminstone en attack lyckades hackarna att kapa spelbolagets "bygga orkestrationsserver", vilket gjorde det möjligt för dem att plantera skadlig programvara inuti videospelens körbara filer.
ESET har emellertid inte upptäckt några bevis för att hackarna någonsin bestämt sig för att fälla programfilerna.
I en annan attack uppnådde hackarna förmågan att manipulera den virtuella valutan i ett spel för sin egen ekonomiska fördel.
ESETs forskare avslöjade attackerna när skadlig kod upptäcktes på spelföretagens servrar.
Hur den skadliga koden, som kallas PipeMon, lyckades exakt glida in i systemen är inte helt tydlig.
Men skadlig programvara kan maskeras som programnamn inklusive setup.exe tillsammans med slack.exe, den körbara för chattjänsten Slack på arbetsplatsen.
(Kredit: ESET) Hackarna lyckades också stjäla och införliva kodsigneringscertifikat från en legitim spelleverantör i PipeMon.
Som ett resultat kunde skadlig programvara kringgå säkerhetsskyddet på Windows vid installationen.
(Kredit: ESET) "Flera indikatorer fick oss att tillskriva denna kampanj till Winnti-gruppen", säger ESET-forskare Mathieu Tartare i ett uttalande.
”En del av de kommando- och kontrolldomäner som PipeMon använde användes av Winnti-skadlig programvara i tidigare kampanjer.
Vidare hittades andra skadliga program från Winnti under några av samma företag som senare upptäcktes komprometterade med PipeMon 2020.
”
Den goda nyheten är att ESET har kontaktat alla berörda spelföretag och gett vägledning om hur man tar bort skadlig kod.
De stulna kodsigneringscertifikaten har också återkallats.
Men Winnti-gruppen kommer nästan säkert att slå igen.
Hackingbesättningen, som möjligen är baserad i Kina, har en lång historia av att infiltrera videospelföretag för att stjäla källkod och kodsigneringscertifikat.
ESET anklagar också Winnti-gruppen för att ha brutit sig in i Avasts CCleaner och PC-leverantör Asus redan 2017 och 2019 för att plantera skadlig programvara i sina program som används av miljontals kunder.