Лаборатория Касперского раскрыла серию целевых атак на игровые компании

Целый ряд публикаций на securelist.com посвящен серии APT атак, в ходе которых использовалось вредоносные программы Winnti и PlugX:

• «Winnti. Это вам не игрушки»;
• «Анализ Winnti 1.0»;
• «Ловля на живца»;
• «Winnti приходит с PlugX».

Полный отчет на английском языке доступен здесь.

Краткое содержание:

• целью атак были игровые компании;
• некоторые x64 компоненты трояна Winnti имели легальные цифровые подписи, что позволяло успешно устанавливать вредоносные DLL в среде 64-х разрядных операционных систем;
• злоумышленики располагали достаточным количеством украденных сертификатов;
• собственный протокол обмена информацией с командными серверами, использующий порты 53, 80, 443 с целю маскировки под трафик DNS и HTTP, впрочем, нестандартное содержимое пакетов являлось демаскирующим фактором;
• три основные схемы монетизации, которые могли быть использованы кибергруппировкой, стоящей за распространением Winnti:
  1. нечестное накопление игровой валюты/«золота» в онлайн-играх и перевод виртуальных средств в реальные деньги;
  2. кража исходников серверной части онлайн-игр для поиска уязвимостей в играх — далее см. пункт 1;
  3. кража исходников серверной части популярных онлайн-игр для последующего развертывания пиратских серверов;
• исследование злоумышленниками зараженных систем «вручную»;
• использование для распространения достаточно простых методов, например, отправка exe файлов по почте в архивах с ипользованием спецсимволов «реверса» строки в имени файла;
• переориентация злоумышленников с одного вида ВПО (Winnti) на другое (PlugX) после осознания факта, что их присутствие обнаружено.