Contenido de Búsqueda de Amenazas: Detección del malware PipeMon

PipeMon es un backdoor modular que está firmado con un certificado perteneciente a una empresa de videojuegos, que fue comprometida por el grupo Winnti en 2018. Investigadores de ESET descubrieron este backdoor utilizado en ataques a empresas en Corea del Sur y Taiwán que desarrollan juegos populares en línea multijugador masivo. Nombraron al backdoor PipeMon porque el autor del malware utilizó «Monitor» como el nombre del proyecto de Visual Studio, y se usaron múltiples tuberías nombradas para la comunicación entre módulos. Cada módulo observado presenta diferentes funcionalidades, y es un único DLL que exporta una función llamada IntelLoader y se carga utilizando una técnica de carga reflexiva. Durante la instalación, el cargador deja el malware en la carpeta de Procesadores de Impresión de Windows y setup.dll registra el cargador DLL malicioso como un Procesador de Impresión alternativo.

El grupo Winnti ha estado activo desde al menos 2011, apuntando principalmente a la industria de los videojuegos y el software con raros ataques a los sectores de salud y educación. Son infames por ataques de cadena de suministro de alto perfil y troyanización de software popular. Su operación ShadowHammer afectó a decenas de miles de sistemas en todo el mundo, y el otoño pasado, el grupo Winnti utilizó el malware PortReuse en el ataque a un importante fabricante de hardware y software móvil con sede en Asia. Durante la investigación de la última campaña, los investigadores descubrieron al menos una instancia donde el grupo pudo comprometer el sistema de compilación de una organización y tuvo la posibilidad de plantar malware dentro del ejecutable del videojuego.

La regla de Caza de Amenazas por Ariel Millahuel permite a tu solución de seguridad detectar el registro del backdoor modular PipeMon como un Procesador de Impresión alternativo: https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Evasión de Defensa

Técnicas: Modificar Registro (T1112), Archivos o Información Ofuscada (T1027)

Actores: Grupo Winnti

Más contenido de Caza de Amenazas en nuestro blog: https://socprime.com/tag/threat-hunting-content/