Malware bersembunyi di unduhan game yang sah, ditandatangani dengan sertifikat asli; koneksi ke ShadowHammer telah ditemukan.
Fokus APT di balik serangan rantai pasokan ShadowHammer yang menyalahgunakan fungsi pembaruan komputer ASUS ternyata memiliki cakupan yang lebih luas daripada yang diperkirakan sebelumnya. Para peneliti telah menemukan binari yang ditandatangani secara digital serupa menggunakan industri videogame sebagai saluran pengiriman untuk malware. Para korban termasuk penggemar game first-person shooter yang populer, Point Blank.
Para peneliti di Kaspersky Lab dan ESET telah melihat unduhan dari game-game yang terkena dampak yang telah dimasukkan ke backdoors. Mereka juga masuk dengan sertifikat digital yang sah yang berhasil disalahgunakan oleh musuh, yang memungkinkan file untuk meluncur melewati antivirus dan ke desktop. Jadi, penggemar game yang berpikir mereka sedang mengunduh penembak orang pertama yang keren malah bisa menemukan diri mereka sebagai tambang dalam berbagai jenis serangan.
Ini adalah modus operandi yang sama seperti yang terlihat dalam Operation ShadowHammer , di mana lebih dari satu juta pemilik komputer ASUS di seluruh dunia terinfeksi oleh backdoor yang dikirimkan di dalam ASUS Live Update Utility yang sah (masalah yang sekarang sudah diperbaiki ).
ESET, yang melakukan tinjauan sekilas dari serangan game pada bulan Maret (tanpa menyebut nama game yang terkena dampak), mencatat bahwa telemetri menunjukkan korban sebagian besar berlokasi di Asia, dengan Thailand memiliki bagian terbesar dari kue.
"Mengingat popularitas aplikasi yang dikompromikan yang masih didistribusikan oleh pengembangnya, tidak akan mengherankan jika jumlah korban ada dalam puluhan atau ratusan ribu," kata perusahaan itu dalam tulisan awal , merujuk pada Point Blank .
Point Blank dan Infestation
Kaspersky Lab merilis rincian tambahan tentang serangan minggu ini, menghubungkan mereka dengan ofensif rantai pasokan ASUS baru-baru ini.
Ditemukan bahwa beberapa file yang dapat dieksekusi untuk menginstal Point Blank telah disuntikkan dengan backdoor. File-file tersebut ditandatangani dengan sertifikat sah yang tidak dibatalkan yang dikembangkan oleh perusahaan Korea Selatan di belakang permainan, Zepetto Co. Sertifikat itu masih belum dicabut pada awal April, menurut Kaspersky Lab, meskipun Zepetto tampaknya telah berhenti menggunakan sertifikat pada akhirnya. Februari 2019.arahkan backdoor permainan hitam
Korban lain adalah game survival zombie yang disebut Infestation: Survivor Stories (alias The War Z), yang dikembangkan oleh Electronics Extreme, sebuah perusahaan game dari Thailand. Setelah 2013 kompromi dari server gimnya, "kode sumber gim tersebut kemungkinan besar dicuri dan dirilis ke publik," kata para peneliti. "Tampaknya perusahaan videogame tertentu mengambil kode yang tersedia ini dan mulai membuat versi gim mereka sendiri." Seperti yang dilakukan pengembang malware - sejauh ini, para peneliti Kaspersky Lab mengatakan bahwa mereka telah menemukan setidaknya tiga sampel Infestasi yang dipersenjatai yang ditandatangani oleh tanda tangan yang sah dan tidak sah milik Electronics Extreme. "Kami percaya bahwa lingkungan pengembangan yang tidak terpelihara, kode sumber yang bocor, serta server produksi yang rentan adalah inti dari nasib buruk mengejar videogame ini," kata para peneliti.
Michael Thelander, direktur pemasaran produk, di Venafi, mengatakan melalui email bahwa "persenjataan penandatanganan kode ini adalah bukti langsung bahwa identitas mesin adalah ujung tombak bagi penjahat cyber." Dia menambahkan, "Satu-satunya cara untuk melindungi terhadap serangan semacam ini. adalah untuk setiap organisasi pengembangan perangkat lunak untuk memastikan mereka terlindungi dengan baik. "
Jalur Infeksi Bersama
Semua kasus videogame melibatkan binari yang ditandatangani secara digital; dan sementara mereka ditandatangani dengan sertifikat berbeda dan rantai kepercayaan unik untuk masing-masing, mereka berbagi proses trojanisasi umum, kata para peneliti.
"Kode jahat ... tampaknya telah dikompilasi dengan rapi ke dalam program, dan dalam kebanyakan kasus, itu dimulai pada awal bagian kode seolah-olah telah ditambahkan bahkan sebelum kode yang sah," kata mereka. “Bahkan data dengan muatan terenkripsi disimpan di dalam bagian kode ini. Ini menunjukkan bahwa para penyerang memiliki akses ke kode sumber proyek korban atau menyuntikkan malware di lokasi perusahaan yang dilanggar pada saat kompilasi proyek. "
Payload backdoor yang termasuk dalam videogame yang dikompromikan itu sederhana, menurut Kaspersky dan peneliti ESET.
Setelah melakukan pemeriksaan sistem (memeriksa hak administratif, dan tidak melanjutkan jika ID bahasa sistem adalah Cina Sederhana atau Rusia, misalnya), ia mengirimkan informasi sistem ke server C2 dengan permintaan POST, dan kemudian mengirimkan permintaan GET untuk menerima perintah untuk dieksekusi. Backdoor sangat mudah: Dapat mengunduh data atau malware tambahan, atau menonaktifkannya sendiri.
Koneksi ke ShadowHammer, ASUS
Peneliti Kaspersky Lab mencatat kesamaan teknis antara serangan game dan insiden ASUS - menunjukkan bahwa kelompok ancaman yang sama ada di belakang mereka semua.
"Meskipun kasing ASUS dan kasing industri video mengandung perbedaan-perbedaan tertentu, mereka sangat mirip," menurut Kaspersky. “Sebagai contoh, algoritma yang digunakan untuk menghitung hash fungsi API (dalam game yang mengalami trojan) menyerupai yang digunakan pada alat ASUS Updater pintu belakang.”
Juga, seperti halnya kasus ASUS, injeksi kode terjadi melalui modifikasi fungsi yang umum digunakan seperti CRT (C runtime), menurut tim.
"Selain itu, mesin perilaku kami mengidentifikasi bahwa ASUS dan sampel terkait lainnya adalah satu-satunya kasus di mana IPHLPAPI.dll digunakan dari dalam shellcode yang tertanam ke dalam file PE," menurut Kaspersky Lab.
Kaspersky Lab sebelumnya mengatakan bahwa kelompok BARIUM Advanced Persistent Ancaman (APT) berada di belakang upaya ASUS, dan sekarang tampaknya juga bertanggung jawab atas target game. BARIUM, pemain negara Tiongkok yang juga dikenal dengan APT17, Axiom dan Deputy Dog, sebelumnya dikaitkan dengan insiden ShadowPad dan CCleaner , yang juga merupakan serangan rantai pasokan yang menggunakan pembaruan perangkat lunak untuk menyelinap ke mesin.
Dalam serangan ShadowPad 2017, mekanisme pembaruan untuk penyedia perangkat lunak manajemen server Korea NetSarang dikompromikan untuk melayani backdoor eponymous. Dalam insiden berikutnya, juga pada tahun 2017, pembaruan perangkat lunak untuk alat pembersihan komputer yang sah CCleaner ditemukan telah dikompromikan oleh peretas untuk menodai mereka dengan backdoor ShadowPad yang sama.
ESET mencatat bahwa motivasi di balik serangan tetap suram. Gamer target sepertinya tidak akan menjadi karya khas APT. “Apakah ini hanya keuntungan finansial? Apakah ada alasan mengapa… produk yang terkena dampak berasal dari pengembang Asia dan untuk pasar Asia? Apakah penyerang ini menggunakan botnet sebagai bagian dari operasi spionase yang lebih besar? "
Apapun, target game menyoroti masalah yang berkembang dalam rantai pasokan pengembangan perangkat lunak.
"Jadi, apakah itu pengembang dari perusahaan videogame yang menginstal versi trojanized dari perangkat lunak pengembangan, atau apakah penyerang menyebarkan kode trojan setelah mengkompromikan mesin pengembang?" Kata peneliti Kaspersky Lab. “Saat ini masih belum diketahui. Meskipun kami tidak dapat mengidentifikasi bagaimana penyerang berhasil mengganti file kunci di lingkungan pengembangan terintegrasi, ini harus berfungsi sebagai panggilan bangun untuk semua pengembang perangkat lunak. "
Sumber Artikel : Threatpost
