Лаборатория Касперского раскрыла серию целевых атак на игровые компании

Целый ряд публикаций на securelist.com посвящен серии APT атак, в ходе которых использовалось вредоносные программы Winnti и PlugX:

Полный отчет на английском языке доступен здесь.

Краткое содержание:

  • целью атак были игровые компании;
  • некоторые x64 компоненты трояна Winnti имели легальные цифровые подписи, что позволяло успешно устанавливать вредоносные DLL в среде 64-х разрядных операционных систем;
  • злоумышленики располагали достаточным количеством украденных сертификатов;
  • собственный протокол обмена информацией с командными серверами, использующий порты 53, 80, 443 с целю маскировки под трафик DNS и HTTP, впрочем, нестандартное содержимое пакетов являлось демаскирующим фактором;
  • три основные схемы монетизации, которые могли быть использованы кибергруппировкой, стоящей за распространением Winnti:
    1. нечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги;
    2. кража исходников серверной части онлайн-игр для поиска уязвимостей в играх — далее см. пункт 1;
    3. кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов;
  • исследование злоумышленниками зараженных систем «вручную»;
  • использование для распространения достаточно простых методов, например, отправка exe файлов по почте в архивах с ипользованием спецсимволов «реверса» строки в имени файла;
  • переориентация злоумышленников с одного вида ВПО (Winnti) на другое (PlugX) после осознания факта, что их присутствие обнаружено.
Реклама
Запись опубликована в рубрике News с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s