ESET araştırmacıları, Winnti Group tarafından kullanılan ve MMO (kitlesel çok oyunculu çevrimiçi) oyunlar geliştiren birkaç görüntü oyunu şirketini hedefleyen yeni bir modüler art kapı keşfetti. ESET tarafından ‘PipeMon’ olarak isimlendirilen bu zararlı yazılım, Güney Kore ve Tayvan’daki şirketleri gaye alıyor. Bu şirketler tarafından geliştirilen medya oyunları tüm yerküreye dağıtılıyor ve tanınan oyun platformlarında binlerce eşzamanlı oyuncuya sahip.
Ne yapıyorlar?
ESET Araştırmacıları Mathieu Tartare ve Martin Smolár’e nazaran saldırganlar en az bir defa ilgili şirketlerin yapı düzenleme sunucusunun güvenliğini aşarak otomatik imalat sistemlerinin denetimini ele aldı. Bu, saldırganların medya oyununun yürütülebilir evraklarına truva atı yerleştirmelerini sağlamış olabilir. Farklı bir durumda da, saldırganlar şirketin oyun sunucularını tehlikeye attı. Bu akın sonucunda ise oyun içi para ünitelerini finansal kar için manipüle etmek mümkün. ESET, etkilenen şirketlerle temasa geçti ve sorunu düzeltmek için gerekli haber ve yardımı sağladı.
Ardında küme
“Birden çok delil, bu hücumun Winnti Öbeği tarafından gerçekleştirildiğini anlamamıza yol açtı” diyen araştırmacı Mathieu Tartare, kelamlarını şöyle sürdürdü: “PipeMon tarafından kullanılan komuta ve denetim sunucu alan isimlerinden kimileri, evvelki kampanyalarda Winnti tarafından kullanılmıştı. Başkaca, PipeMon ile tehlikeye atıldığı keşfedilen birebir şirketlerden kimilerinde 2019 yılından öteki Winnti zararlı yazılımları bulundu.”
Çalınmış sertifikayı kullanıyorlar
Yeni modüler art kapı PipeMon’un, evvelki bir akında Nfinitiy Games’den çalındığı anlaşılan bir kod imzalama sertifikasıyla imzalanmış PortReuse art kapısıyla benzerlikleri bulunuyor. Tartare, “Bu yeni gelişme, saldırganların birden ziyade açık kaynaklı girişim kullanarak canlı olarak yeni araçlar geliştirdiğini ve sadece ShadowPad ve Winnti zararlılarına güvenmediğini gösteriyor. ESET, PipeMon’un iki farklı varyantını izledi.
Winnti Kümesi
En az 2012 yılından beri faal olan Winnti Öbeği, medya oyunu ve yazılım sanayilerine karşı yüksek profilli tedarik zinciri taarruzlarından sorumlu. Truva atı bulaştırılmış pek çok tanınan yazılımı dağıttığı tespit edilen Winnti Kümesi, başkaca yakın vakitte ‘ShadowPad’ ve ‘Winnti’ istenilmeyen hedefli yazılımlarıyla kimi Hong Kong Üniversitelerini de amaç almıştı.
Oyun modu bulunan güvenlik yazılımı kullanın!
Yalnızca oyun şirketlerinin değil oyuncuların da siber hırsızların maksadında bulunduğunu hatırlatan ESET güvenlik bilirkişileri, cihazlarda kesinlikle yeni ve proaktif güvenlik yazılımı bulundurulmasını tavsiye ediyor.
Mahsusen ‘Oyun Modu‘na sahip güvenlik yazılımlarının oyuncuları rahatsız etmeden koruduğunu belirten eksperler, “Oyun modu; yazılımlarını kesintisiz olarak kullanabilmeyi talep eden, açılır pencerelerle rahatsız edilmek istemeyen ve CPU tasarrufunun en aza inmesini isteyen kullanıcılara yönelik bir özelliktir. Bu özellik etkinleştirildiğinde tüm açılır pencereler devre dışı bırakılır ve zamanlayıcının aktiflikleri büsbütün durdurulur. Sistem müdafaası art planda çalışmaya devam eder lakin kullanıcıdan rastgele bir etkileşim talebi olmaz“ haberini paylaştı.
