行业新闻与博客

研究人员揭露了负责发动一系列供应链攻击的威胁组织的卑鄙手段。

温蒂集团（Winnti Group）针对游戏行业已有近十年的历史。他们首选的攻击方式是危害游戏开发人员，将后门插入游戏的构建环境，然后将其恶意软件作为合法软件进行分发。

卡巴斯基实验室 （Kaspersky Lab）于 2013年4月  报告  称，2011年温蒂（Winnti）修改了一个视频游戏，使其包含后门。然后，在 2019年3月，  ESET  发表了  研究报告，  证明该威胁组织负责破坏和向其他两个游戏和一个游戏平台添加后门。 

亚洲游戏玩家是最近一次供应链攻击的目标，研究人员估计，受影响的“成千上万”人。超过一半的受害者（55％）位于泰国。 

发行此出版物之后，ESET 继续进行  调查，  以发现组织的数字供应链如何被破坏以在其应用程序中传播恶意软件。 

ESET 研究人员 Marc 说：“搜索添加到有时巨大的现有代码库中的一小段隐藏的代码就像在大海捞针中找到一根针。但是，我们依靠行为和代码相似性来帮助我们发现针。” -ÉtienneLéveillé。

Winnti 集团在后门 PortReuse 中使用了一个打包程序。ESET 与 Censys 合作，对整个 Internet 进行了扫描，以试图确定后门的一种变体以及潜在的受害者。 

Léveillé表示：“由于我们对最近针对亚洲游戏产业的供应链攻击所使用的独特包装机很感兴趣，因此我们一直在寻找是否在其他地方使用过这种包装机。” 

通过他们的新  研究，ESET 能够警告亚洲的一家主要移动软件和硬件制造商，他们已受到 PortReuse 的侵害。ESET 还分析了 Shadownpad 的新变体，后者是 Winnti Group 使用的另一个后门，但仍由其运营商维护和积极使用。

尽管 Winnti 主要以间谍活动而闻名，但研究人员发现该组织还使用僵尸网络来挖掘加密货币。

Léveillé说：“也许他们使用自己开采的虚拟资金来资助其他业务。也许他们将其用于租用服务器和注册域名。但是，在这一点上，我们不能排除可能会激发他们或他们的一个子群体通过经济收益。”

非常感谢您对RedDNS的支持与信任！

禁止转载