世界上最多产的黑客组织之一最近感染了几家大型多人在线游戏制造商，这一壮举使得攻击者有可能将带有恶意软件的应用程序推向一个目标用户，并窃取第二个受害者玩家的游戏内货币。

 

斯洛伐克安全公司ESET的研究人员将这些攻击与Winnti联系在一起。Winnti至少从2009年就开始活跃，据信已经实施了数百起主要是高级攻击。目标包括中国记者、沐鸣开户测速维吾尔族和西藏活动人士、泰国的政府以及知名科技组织。Winnti与2010年从谷歌和其他34家公司窃取敏感数据的黑客事件有关。最近，该组织一直在支持CCleaner分发平台的妥协，将恶意更新推送给数百万人。Winnti发起了单独的供应链攻击，在50万台华硕(ASUS)个人电脑上安装了后门。

 

最近的攻击使用了一个从未见过的后门，ESET将其命名为PipeMon。为了逃避安全防范，安装PipeMon的人获得了合法的Windows签名证书的授权，该证书是在2018年对Nfinity Games的一次黑客攻击中被盗的。backdoor(一个模块用于与另一个模块通信的多个管道的名称以及开发人员使用的Microsoft Visual Studio的项目名称)使用了Windows打印处理器的位置，因此它可以在重新启动后继续运行。记者未能立即联系到Nfinity的代表置评。

 

一个皮皮鬼的示意图。

 

放大《皮皮鬼》的示意图。

 

ESET

 

一个奇怪的游戏

 

在周四早上发表的一篇帖子中，ESET几乎没有透露受感染公司的情况，沐鸣开户测速只是说它们包括几家韩国和台湾的MMO游戏开发商。MMO游戏可在流行游戏平台上使用，有数千名玩家同时参与。

 

ESET的研究人员写道:“至少在一个案例中，恶意软件运营商损害了受害者的构建系统，这可能导致了供应链攻击，允许攻击者木马化游戏可执行文件。”在另一个案例中，游戏服务器被入侵，这可能让攻击者得以操纵游戏内的货币，以获取经济利益。研究人员说，他们没有证据表明这两种结果都发生过。

 

能够如此深入地接触到至少两个最新目标，证明了Winnti成员的技能。在2018年针对另一批游戏制造商的供应链攻击中，该公司窃取了Nfinity Games的证书。基于Winnti的目标人群和组织，研究人员将该组织与中国政府联系起来。黑客经常以互联网服务、软件和游戏开发商为目标，目的是利用窃取的任何数据更好地攻击最终目标。

 

认证的欺诈

 

Windows要求软件驱动程序在访问内核之前进行证书签名，内核是任何操作系统中最安全关键的部分。这些证书——必须在购买者证明他们是合法软件的提供者之后，才能从受windows信任的权威机构获得——也可以帮助绕过防病毒和其他端点保护。因此，证书经常被偷。

 

尽管这一盗窃行为来自于2018年的一次攻击，但证书所有者直到ESET将其滥用行为通知给它才撤销了它。都铎·杜米特拉斯(Tudor Dumitras)是2018年一篇研究代码证书漏洞的论文的作者之一，他发现撤销证书的延迟时间很长并不罕见，尤其是与网站使用的TLS证书相比。有了公开发布Web证书的要求，跟踪和识别盗窃行为就容易得多了。代码签名证书则不是这样。杜米特拉斯在电子邮件中解释道:

 

这主要是因为，与Web PKI不同，代码签名PKI是不透明的:没有人能够看到当前使用的证书，因为代码签名证书可以在世界各地主机上的可执行文件中找到，并且不能通过internet扫描收集。这使得发现被破坏的证书变得困难，尤其是那些在有针对性的攻击中使用的证书。我们估计，即使像赛门铁克这样的大型反病毒软件供应商，也只能观察到大约36.5%的潜在证书(我们的论文发表于2018年，沐鸣开户测速在赛门铁克的企业和客户业务拆分之前)。

 

韩国和台湾的MMO游戏开发者数量非常多，除此之外，我们无法知道攻击者是否真的利用他们的访问权限来滥用软件构建或游戏服务器。这意味着终端用户几乎无法知道他们是否受到了影响。鉴于温蒂之前的成功，这种可能性不能被排除。