Contenuto per la Caccia alle Minacce: rilevamento del malware PipeMon

PipeMon è una backdoor modulare firmata con un certificato appartenente a una società di videogiochi, che è stata compromessa dal gruppo Winnti nel 2018. I ricercatori di ESET hanno scoperto questa backdoor usata in attacchi contro aziende in Corea del Sud e Taiwan che sviluppano popolari giochi online massivamente multiplayer. Hanno chiamato la backdoor PipeMon perché l’autore del malware ha usato “Monitor” come nome del progetto di Visual Studio, e sono state usate più named pipes per la comunicazione tra moduli. Ogni modulo osservato mostra funzionalità diverse ed è una singola DLL che esporta una funzione chiamata IntelLoader e viene caricata usando una tecnica di caricamento riflettente. Durante l’installazione, il loader lascia cadere il malware nella cartella dei processori di stampa di Windows e setup.dll registra il loader DLL dannoso come Processore di stampa alternativo.

Il gruppo Winnti è attivo almeno dal 2011, prendendo di mira principalmente l’industria dei videogiochi e del software con rari attacchi nei settori sanitario ed educativo. Sono noti per attacchi alla supply chain di alto profilo e per trojanizzare software popolari. La loro operazione ShadowHammer ha colpito decine di migliaia di sistemi in tutto il mondo, e lo scorso autunno, il gruppo Winnti ha usato il malware PortReuse nell’attacco a un importante produttore di hardware e software mobile con sede in Asia. Durante l’indagine sull’ultima campagna, i ricercatori hanno scoperto almeno un’istanza in cui il gruppo è stato in grado di compromettere il sistema di build di un’organizzazione e aveva la possibilità di installare malware all’interno dell’eseguibile del videogioco.

La regola di Threat Hunting di Ariel Millahuel consente alla tua soluzione di sicurezza di rilevare la registrazione della backdoor modulare PipeMon come Processore di stampa alternativo: https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Evasione Difensive

Tecniche: Modifica Registro (T1112), File o Informazioni Offuscate (T1027)

Attori: Gruppo Winnti

Altri contenuti di Threat Hunting sul nostro blog: https://socprime.com/tag/threat-hunting-content/