국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 PC방을 대상으로 코인 마이너를 설치하고 있는 공격 사례를 확인하였다. 공격자는 2022년부터 활동한 것으로 추정되며 PC방 대상 공격은 2024년 하반기부터 발생하고 있다. 초기 침투 방식은 알 수 없으며 대부분의 공격이 PC방 관리 프로그램이 설치된 시스템을 대상으로 하였다. 공격 과정에서는 감염 시스템을 제어하기 위한 목적으로 Gh0st RAT이 사용되고 있으며 실제 확인된 대부분의 악성코드들이 Gh0st RAT 또는 이를 설치하는 드로퍼(Dropper)이다. 공격자는 PC방 관리 프로그램의 메모리를 패치하는 악성코드를 사용하기도 하였으며 이외에도 이러한 악성코드들을 다운로드하는 다운로더(Downloader)들도 함께 확인된다.

 

1. 공격 정황

PC방에서는 손님들의 이용 시간을 효율적으로 관리하고 과금하기 위해 관리 프로그램이 필요하다. 이러한 프로그램은 손님이 자리에 앉아 로그인하면 자동으로 시간을 측정하고, 사용 요금 정산, 이벤트 적용 등을 자동화하여 운영자의 업무를 간소화시킨다. 이번에 확인된 공격들은 대부분 국내 모 PC방 관리 프로그램이 설치된 시스템 즉 PC방에서 관리하는 PC들이 그 대상이 된 것이 특징이다. 공격자는 Gh0st RAT을 설치해 감염 시스템을 제어하였으며 최종적으로 T-Rex라는 이름의 코인 마이너를 설치해 암호 화폐를 채굴하였다.

Figure 1. 흐름도

이러한 공격은 작년 하반기부터 시작되었는데 실제 제작사에서도 이를 확인하여 대처하고 있는 것으로 추정된다. 실제 해당 업체의 홈페이지에서도 악성코드 프로세스 차단 목록을 관리하는 등 대응을 확인할 수 있었다.

참고로 공격자는 해당 소프트웨어를 분석해 기본적인 이해를 하고 있는 것으로 추정된다. 공격에 사용된 악성코드들 중에는 카운터 PC에 설치되는 프로그램의 메모리를 패치하는 기능을 담당하는 유형도 있으며 비록 프로그램의 동작 방식은 알 수 없지만 관련 경로에 Gh0st RAT 드로퍼가 설치된 로그가 다수 확인됨에 따라 정황상 지속성 유지를 위한 목적으로 추정된다.

이외에도 소수에서 확인되는 로그이긴 하지만 손님 PC에 설치되는 클라이언트의 프로세스가 Gh0st RAT 드로퍼를 설치하는 로그가 확인되기도 하였다.

Figure 2. PC방 관리 프로그램의 클라이언트에 의해 설치되는 Gh0st RAT 드로퍼

Figure 3. PC방 관리 프로그램의 클라이언트에 의해 실행되는 Gh0st RAT 드로퍼

• 설치 경로 : “%ProgramFiles% (x86)\********\**\*****\cmd.exe”

 

2. 악성코드

2.1. Gh0st RAT

Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 중국어를 사용하는 공격자들이 주로 사용하는 것이 특징이다.

공격에 사용된 악성코드들 대부분은 Gh0st RAT과 이를 설치하는 드로퍼이다. 드로퍼는 대부분 Themida나 MPRESS와 같은 패커로 패킹되어 유포되는데 리소스 영역에 Gh0st RAT을 포함하고 있다가 “C:\map1800000.dll” 같은 경로에 생성 및 로드한다.

Figure 4. 리소스에 존재하는 Gh0st RAT

메모리에 로드된 Gh0st RAT은 자신을 서비스에 등록하여 동작하며 C&C 서버로부터 전달받은 명령에 따라 감염 시스템을 제어할 수 있다. 오픈 소스임에 따라 Gh0st RAT도 다양한 변종들이 있는데 공격에 사용된 유형은 파일 및 프로세스 제어와 같은 기본적인 원격 제어 기능들 외에도 키로깅, 스크린 캡쳐와 같은 정보 수집 기능들이 존재한다.

참고로 C&C 서버와 통신에서 사용되는 시그니처 문자열은 “Gh0st” 대신 “Level”이 사용되는 것이 특징이다. 공격자는 Gh0st RAT을 이용해 감염 시스템을 제어할 수 있으며 실제 공격 로그들 중에서 눈에 띄는 점은 이를 이용해 Patcher 악성코드를 다운로드한 점이다.

Figure 5. Patcher 악성코드 설치 행위

 

2.2. Patcher

Patcher는 현재 실행 중인 프로세스들 중에서 PC방 관리 프로그램의 특정 프로세스를 찾아 메모리 패턴을 읽은 후 가지고 있는 패턴 즉 아래 그림의 상단과 비교한다. 만약 매칭된 경우 아래 그림의 하단처럼 메모리를 패치한다.

Figure 6. 메모리 검사 및 패치 패턴

참고로 기존에는 WAV 파일의 파일명이었지만 이를 “cmd.exe”라는 이름의 파일명으로 변경한이다. 해당 PC방 관리 프로그램인데 구체적인 동작 과정은 알 수 없지만 다음 경로에 Gh0st RAT 드로퍼가 확인되는 것을 보면 특정 행위 시 악성코드가 설치되도록 조작하는 것으로 추정된다.

• 설치 로그 : “%ProgramFiles% (x86)\********\**\sound\cmd.exe”

 

2.3. Downloader

다운로더 유형들은 단순한 형태로서 코인 마이너, Gh0st RAT 드로퍼, KillProc 또는 또 다른 다운로더를 설치하는 기능을 담당한다.

 

2.4. T-Rex CoinMiner

일반적으로 모네로 코인을 채굴하는 XMRig를 사용하는 다른 공격자들과 달리 해당 공격 사례에서는 T-Rex 코인 마이너가 사용된다. 이는 PC방의 컴퓨터들이 높은 성능의 게임들을 지원하기 위해 기본적으로 GPU가 설치되어 있기 때문으로 보인다. T-Rex는 GPU를 활용하며 주로 이더리움 계열이나 레이븐코인 등을 채굴하는데 사용된다.

다음은 T-Rex 코인 마이너가 설치된 경로로 해당 업체 홈페이지의 공지사항에서 언급된 파일명들과 대부분 매칭되는 것을 알 수 있다. 공격자는 PC방 관리 프로그램이 업데이트될 때마다 설치 경로명을 변경하고 있는 것으로 보인다.

• %ProgramFiles% (x86)\Windows NT\mmc.exe
• %ProgramFiles% (x86)\Windows NT\mtn.exe
• %ProgramFiles% (x86)\Windows NT\syc.exe
• %ProgramFiles% (x86)\Windows NT\syn.exe
• %ProgramFiles% (x86)\Windows NT\tnt.exe

비록 커맨드 라인 인자나 설정 파일이 확인되지 않아 공격자에 대한 정보는 알 수 없지만 T-Rex 외에도 Phoenix 마이너를 유포한 정황이 있는 것으로 보아 공격자의 주요 목적은 암호 화폐 채굴인 것으로 보인다.

 

2.5. KillProc

마지막으로 현재 실행 중인 프로세스들 중에서 코인 마이너를 찾아 종료시키는 악성코드들이 있다. 물론 이외에도 해당 업체에서 개발한 음란물 및 사행성 게임물 차단 프로그램이나 알 수 없는 여러 프로세스들이 그 대상이기도 하다.

• “***Invoker.exe”
• “*****guard_c.exe”
• “*****guard_s.exe”
• “phoenixminer.exe”
• “miner.exe”
• “ethdcrminer64.exe”
• “mine.exe”
• “kminerclient.exe”
• “pms.exe”
• “chrome.exe”
• “scse.exe”
• “notice.exe”
• “mirc.exe”
• “svohost.exe”
• “scvhost.exe”
• “svvhost.exe”
• “geekminer.exe”
• “po4.exe”
• “cmd.exe”
• “conhost.exe”
• “U0f4d43d.bin.exe”

 

3. 결론

최근 국내 PC방을 겨냥한 악성코드 공격이 발생하고 있다. 특히 공격자는 국내 특정 업체의 PC방 관리 프로그램이 설치된 환경을 공격 대상으로 하고 있다. 공격에 사용된 악성코드들은 대부분 Gh0st RAT 및 그 설치를 돕는 드로퍼로 구성되며, 최종적으로는 T-Rex 코인 마이너가 설치된다.

관리자는 운영체제 및 PC방 관리 프로그램을 최신 버전으로 유지하여 취약점에 노출되지 않도록 주의해야 하며 보안 제품을 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 해야 한다. 그리고 IoC 항목의 주요 파일 이름을 참고해 감염 여부를 점검할 필요가 있으며 이를 통해 조기에 대응할 수 있도록 해야 한다.

 

MD5

04840bb2f22c28e996e049515215a744

0b05b01097eec1c2d7cb02f70b546fff

142b976d89400a97f6d037d834edfaaf

15ba916a57487b9c5ceb8c76335b59b7

15d6f2a36a4cd40c9205e111a7351643

URL

http[:]//112[.]217[.]151[.]10/config[.]txt

http[:]//112[.]217[.]151[.]10/mm[.]exe

http[:]//112[.]217[.]151[.]10/pms[.]exe

http[:]//112[.]217[.]151[.]10/statx[.]exe

http[:]//121[.]67[.]87[.]250/3[.]exe

IP

103[.]25[.]19[.]32

113[.]21[.]17[.]102

115[.]23[.]126[.]178

121[.]147[.]158[.]132

122[.]199[.]149[.]129