韓国国内のネットカフェを対象とする T-Rex コインマイナー攻撃事例の解析

AhnLab SEcurity intelligence Center(ASEC)は、 近年、 韓国国内の ネットカフェを対象にコインマイナーをインストールしている攻撃事例を確認した。 攻撃者は、 2022年から活動したものと推定され、 PC 房を対象とする攻撃は、 2024年の下半期から発生している。 初期の侵入方式は不明であり、ほとんどの攻撃が ネットカフェの管理プログラムがインストールされたシステムを対象とした。 攻撃過程では、 感染システムを操作するための目的で Gh0st RAT が使用されており、 実際に確認されたほとんどのマルウェアが Gh0st RAT または、 これをインストールするドロッパー(Dropper)である。 攻撃者は、ネットカフェの管理プログラムのメモリをパッチするマルウェアを使用することもあり、 このほかにもこのようなマルウェアをダウンロードするダウンローダ(Downloader)もともに確認される。

1. 攻撃の状況

ネットカフェでは、 客の利用時間を効率的に管理し、 課金するために管理プログラムが必要である。 このようなプログラムは、 客が座ってログインすると自動で時間を測定し、使用料金の精算、イベントの適用などを自動化して、運営者の業務を簡素化する。今回確認された攻撃は、ほとんどが韓国国内の某 PC 房管理プログラムがインストールされたシステム、すなわち、ネットカフェが管理する PC がその対象になっていることが特徴である。このことに関連して、初期の侵入方式を確認しているが、具体的な状況は不明である。攻撃者は、Gh0st RAT をインストールし、感染システムを操作したり、最終的に T-Rex という名前のコインマイナーをインストールして仮想通貨をマイニングした。

Figure 1. フローチャート

このような攻撃は、昨年の下半期から始まったが、実際の製作社でもこれを確認して対処しているものと推定される。実際にこの業界のホームページでも、マルウェアのプロセス遮断リストを管理するなどの対応を確認することができた。

参考に、攻撃者はこのソフトウェアを解析し、基本的な理解をしているものと推定される。攻撃に使用されたマルウェアの中には、カウンタープPCにインストールされるプログラムのメモリをパッチする機能を担うタイプもあり、例え、プログラムの動作方式は不明であっても、関連パスに Gh0st RAT ドロッパーがインストールされたログが多数確認されることにより、状況的に持続性維持のための目的であるものと推定される。

このほかにも、少数ではあるが確認されるログでは、客の PC にインストールされるクライアントのプロセスが Gh0st RAT ドロッパーをインストールするログが確認されることもあった。

Figure 2. ネットカフェの管理プログラムのクライアントによってインストールされる Gh0st RAT ドロッパー

Figure 3. ネットカフェの管理プログラムのクライアントによって実行される Gh0st RAT ドロッパー

• インストールパス： “%ProgramFiles% (x86)\********\**\*****\cmd.exe”

2. マルウェア

2.1. Gh0st RAT

Gh0st RAT は、中国の C. Rufus Security Team が開発したリモートコントロールマルウェアである。ソースコードが公開されているため、マルウェア開発者たちが参考にして様々な変種を開発しており、近年、まで使用され続けている。ソースコードが公開されているにもかかわらず、中国語を使用する攻撃者が主に使用することが特徴である。

攻撃に使用されたマルウェアのほとんどは Gh0st RAT と、これをインストールする Dropper である。Dropper はほとんどが Themida や MPRESS のような Packager でパッキングされて配布されるが、リソース領域に Gh0st RAT を含んでいたが、「C:\map1800000.dll」のようなパスに作成およびロードする。

図4. リソースに存在する Gh0st RAT

メモリにロードされた Gh0st RAT は、自身をサービスに登録して動作し、C&C サーバーから伝達されたコマンドに応じて感染システムを操作することができる。オープンソースであるため、Gh0st RAT も様々な変種が存在するが、攻撃に使用されたタイプはファイルおよびプロセス操作のような基本的なリモートコントロール機能の他にも、キーロガー、スクリーンキャプチャのような情報収集機能が存在する。

参考に、C&C サーバーとの通信で使用されるシグネチャ文字列は「Gh0st」の代わりに「Level」が使用されることが特徴である。攻撃者は Gh0st RAT を利用して感染システムを操作することができ、実際の攻撃ログの中で目立つ点は、これを利用して Patcher マルウェアをダウンロードした点である。

図5. Patcher マルウェアのインストール行為

2.2. Patcher

Patcher は、現在実行中のプロセスのうち、ネットカフェの管理プログラムの特定プロセスを探し、メモリパターンを読み取った後、保持しているパターン、すなわち下の図の上段と比較する。もしマッチングした場合、下の図の下段のようにメモリをパッチする。

Figure 6. メモリチェックおよびパッチパターン

参考に、従来は WAV ファイルのファイル名だったが、これを「cmd.exe」という名前のファイル名に変更する。このネットカフェ管理プログラムであり、具体的な動作プロセスは不明だが、以下のパスに Gh0st RAT ドロッパーが確認されるのを見ると、特定の振る舞いをした際にマルウェアがインストールされるように操作すると考えられる。

• インストールログ：「%ProgramFiles% (x86)\********\**\sound\cmd.exe」

2.3. Downloader

ダウンローダータイプは単純な形式であり、コインマイナー、Gh0st RAT ドロッパー、KillProc、または別のダウンローダーをインストールする機能を担っている。

2.4. T-Rex CoinMiner

一般的にモネロコインをマイニングする XMRig を使用する他の攻撃者とは異なり、この攻撃事例では T-Rex コインマイナーが使用される。これは、ネットカフェのコンピュータが高性能のゲームに対応するため、基本的に GPU が設置されているためと見られる。T-Rex は GPU を活用し、主にイーサリアム系やレイブンコインなどのマイニングに使用される。

以下は T-Rex コインマイナーがインストールされた経路であり、この企業のホームページの告知事項で言及されているファイル名とほぼ一致することがわかる。攻撃者は、ネットカフェの管理プログラムがアップデートされるたびにインストール経路名を変更しているものと見られる。

• %ProgramFiles% (x86)\Windows NT\mmc.exe
• %ProgramFiles% (x86)\Windows NT\mtn.exe
• %ProgramFiles% (x86)\Windows NT\syc.exe
• %ProgramFiles% (x86)\Windows NT\syn.exe
• %ProgramFiles% (x86)\Windows NT\tnt.exe

コマンドライン引数や設定ファイルが確認されていないため、攻撃者に関する情報は不明だが、T-Rex の他にも Phoenix マイナーを配布した状況があることから、攻撃者の主な目的は仮想通貨のマイニングであると思われる。

2.5. KillProc

最後に、現在実行中のプロセスの中からコインマイナーを見つけて終了させるマルウェアも存在する。当然、このほかにも当該企業が開発したポルノ関連およびギャンブル性のあるゲームブロックプログラムや、わけのわからない複数のプロセスもその対象である。

• “***Invoker.exe”
• “*****guard_c.exe”
• “*****guard_s.exe”
• “phoenixminer.exe”
• “miner.exe”
• “ethdcrminer64.exe”
• “mine.exe”
• “kminerclient.exe”
• “pms.exe”
• “chrome.exe”
• “scse.exe”
• “notice.exe”
• “mirc.exe”
• “svohost.exe”
• “scvhost.exe”
• “svvhost.exe”
• “geekminer.exe”
• “po4.exe”
• “cmd.exe”
• “conhost.exe”
• “U0f4d43d.bin.exe”

3. 結論

近年、韓国国内のネットカフェを狙ったマルウェア攻撃が発生している。特に攻撃者は、韓国国内の特定企業のネットカフェ管理プログラムがインストールされた環境を攻撃対象としている。攻撃に使用されたマルウェアは大半が Gh0st RAT およびそのインストールを助ける Droper で構成され、最終的には T-Rex コインマイナーがインストールされる。

管理者は、OS およびネットカフェ管理プログラムを最新バージョンに維持し、脆弱性に晒されないように注意する必要があり、セキュリティ製品を最新バージョンにアップデートすることでマルウェアへの感染を事前に遮断できるようにする必要がある。そして、IoC 項目の主要なファイル名を参考にして感染の有無をチェックする必要があり、これによって早期に対応できるようにしなければならない。