شناسایی بدافزار PipeMon

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری ای‌ست (ESET) با انتشار گزارشی اعلام کردند گروه هکری وینتی (Winnti) به در پشتی جدیدی تجهیز شده است. 

بدافزار جدید وینتی، پایپ‌مون (PipeMon) نام‌گذاری شده و در ماه فوریه سال 2020 در سیستم‌های برخی از توسعه‌دهندگان بازی‌های آنلاین چندنفره شناسایی‌شده است. 

به گفته کارشناسان ای‌ست، برخی از سرورهای فرماندهی و کنترل پایپ‌مون پیشتر در برخی بدافزارهای وینتی مورداستفاده قرارگرفته‌اند و در سال 2019 بدافزار وینتی در سیستم‌های برخی کشورها شناسایی‌شده و بعدها همین سیستم‌ها توسط پایپ‌مون مورد هدف قرارگرفته‌اند. 

پایپ‌مون اخیراً یک کمپین سایبری نیز علیه برخی شرکت‌های توسعه‌دهنده بازی‌های آنلاین تدارک دیده‌ که اسامی آن‌ها فاش نشده است، اما بنابر شواهد موجود در کره جنوبی و تایوان واقع‌شده‌اند. 

وینتی در این کمپین از گواهی‌نامه مسروقه «Wemade IO» استفاده کرده است. این گواهی که جهت امضاء نصب کننده پایپ‌مون، ماژول‌ها و ابزارهای مختلف مورداستفاده قرارگرفته است مربوط به شرکت توسعه‌دهنده بازی‌های آنلاینی که در سال 2018 توسط هکرها موردتهاجم قرار گرفت، می‌باشد.  

بنابر گزارش ای‌ست، شباهت زیاد پایپ‌مون به بدافزارهای پیشین وینتی من‌جمله «PortReuse» نشان می‌دهد وینتی به‌شدت درحال‌توسعه ابزارهای خود بوده و تنها روی بدافزارهای «ShadowPad» و «Winnti» متمرکز نشده است. 

طبق گزارش 2019 شرکت فایر‌آی، گروه وینتی که به «Suckfly» ،«APT41» ،«Wicked Panda» ،«Barium» نیز شناخته می‌شود شرکت‌های توسعه‌دهنده بازی‌های آنلاین را هدف قرار داده و به دنبال سرقت و دست‌کاری ارز و جاسوسی است.