PipeMon é um backdoor modular assinado com um certificado pertencente a uma empresa de videogames, que foi comprometido pelo grupo Winnti em 2018. Pesquisadores da ESET descobriram este backdoor usado em ataques a empresas na Coreia do Sul e Taiwan que desenvolvem jogos de Massively Multiplayer Online populares. Eles nomearam o backdoor PipeMon porque o autor do malware usou “Monitor” como o nome do projeto do Visual Studio, e múltiplos pipes nomeados foram usados para comunicação entre módulos. Cada módulo observado exibe funcionalidades diferentes, e é um único DLL exportando uma função chamada IntelLoader e é carregado usando uma técnica de carregamento reflexivo. Durante a instalação, o loader solta o malware na pasta Windows Print Processors e setup.dll registra o carregador de DLL malicioso como um Processador de Impressão alternativo.
O grupo Winnti está ativo desde pelo menos 2011, atacando principalmente a indústria de videogames e software com raros ataques nos setores de saúde e educação. Eles são infames por ataques de cadeia de suprimentos de alto perfil e por trojanizar softwares populares. Sua operação ShadowHammer afetou dezenas de milhares de sistemas ao redor do mundo, e no outono passado, o grupo Winnti usou malware PortReuse no ataque a um grande fabricante de hardware e software móvel baseado na Ásia. Durante a investigação da campanha mais recente, os pesquisadores descobriram pelo menos uma instância onde o grupo foi capaz de comprometer o sistema de construção de uma organização e teve a possibilidade de instalar malware dentro do executável do videogame.
A regra de Threat Hunting por Ariel Millahuel permite que sua solução de segurança detecte o registro do backdoor modular PipeMon como um Processador de Impressão alternativo: https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Defesa Evasiva
Técnicas: Modificação de Registro (T1112), Arquivos ou Informações Ofuscadas (T1027)
Atores: Grupo Winnti
Mais conteúdo de Threat Hunting em nosso blog: https://socprime.com/tag/threat-hunting-content/
