Cybersecurity-Experten des AhnLab Security Emergency Response Center (ASEC) haben eine ausgeklügelte Angriffskampagne aufgedeckt, die gezielt Internet-Cafés in Südkorea ins Visier nimmt. Die Attacken kombinieren den Remote Access Trojan Gh0st RAT mit dem hochspezialisierten T-Rex Cryptocurrency Miner, um die leistungsstarke Hardware der Gaming-Zentren für illegales Kryptomining zu missbrauchen.
Langfristige Kampagne mit gezieltem Fokus auf Gaming-Infrastruktur
Die forensische Analyse zeigt, dass die Angreifer bereits seit 2022 aktiv sind, jedoch erst in der zweiten Jahreshälfte 2024 ihre Aktivitäten auf südkoreanische Internet-Cafés konzentriert haben. Besonders bemerkenswert ist die präzise Zielauswahl: Ausschließlich Systeme mit spezieller koreanischer Management-Software für Internet-Café-Betreiber wurden kompromittiert.
Der initiale Angriffsvektor bleibt nach wie vor ungeklärt, was die Entwicklung effektiver Präventionsmaßnahmen erschwert. Diese Wissenslücke unterstreicht die Professionalität der Angreifer und deutet auf fortgeschrittene Infiltrationstechniken hin, die herkömmliche Sicherheitsmaßnahmen umgehen können.
Technische Analyse der Malware-Komponenten
Gh0st RAT: Bewährtes Werkzeug mit erweiterten Funktionen
Als Kernkomponente der Angriffe fungiert Gh0st RAT, ein Remote Access Trojan der chinesischen C. Rufus Security Team. Da der Quellcode öffentlich verfügbar ist, haben Cyberkriminelle zahlreiche angepasste Varianten entwickelt, die spezifische Angriffsziele adressieren.
Die in dieser Kampagne eingesetzte Version verfügt über ein umfassendes Arsenal an Funktionen:
• Vollständige Fernsteuerung kompromittierter Systeme
• Datei- und Prozessmanipulation
• Sammlung detaillierter Systeminformationen
• Keylogging-Funktionalität zur Passwort-Erfassung
• Screenshot-Erstellung für Überwachungszwecke
Innovative Memory-Patching-Technik
Besonders raffiniert ist die implementierte Memory-Patching-Strategie. Ein spezialisiertes Modul durchsucht kontinuierlich laufende Prozesse nach der Ziel-Management-Software und vergleicht deren Speicherstruktur mit vordefinierten Mustern. Bei erfolgreicher Identifikation modifiziert die Malware gezielt Speicherbereiche und ersetzt WAV-Dateinamen durch cmd.exe.
Diese Manipulation ermöglicht es, den Gh0st RAT Dropper im Verzeichnis der Audiodateien zu platzieren, wodurch eine nahezu unsichtbare Persistenz erreicht wird. Die Ausführung erfolgt getarnt als legitime Systemfunktion, was die Erkennung durch herkömmliche Sicherheitslösungen erheblich erschwert.
Strategisches Kryptomining mit GPU-Optimierung
Im Gegensatz zu typischen Cryptojacking-Angriffen, die meist auf den weit verbreiteten XMRig-Miner für Monero setzen, haben die Angreifer bewusst den T-Rex Miner gewählt. Diese Entscheidung reflektiert ein tiefes Verständnis der Zielinfrastruktur: Internet-Cafés verfügen über hochleistungsfähige Grafikkarten für optimale Gaming-Performance.
T-Rex nutzt die GPU-Rechenleistung effizient für das Mining von Ethereum und RavenCoin, was deutlich profitabler ist als CPU-basiertes Mining. Zusätzlich dokumentierten die Forscher in einigen Fällen die parallele Installation des Phoenix-Miners, was die kommerzielle Ausrichtung der Kampagne unterstreicht.
Gegenmaßnahmen und Sicherheitsempfehlungen
Der Hersteller der betroffenen Management-Software hat bereits reagiert und eine Blacklist implementiert, die bekannte Malware-Prozesse blockiert. Dennoch empfehlen Sicherheitsexperten Internet-Café-Betreibern einen mehrschichtigen Schutzansatz:
• Proaktive Patch-Management-Strategien für alle Softwarekomponenten
• Kontinuierliches Netzwerk-Monitoring zur Erkennung anomaler Aktivitäten
• Einsatz spezialisierter Anti-Mining-Lösungen mit Verhaltensanalyse
• Implementierung des Prinzips der minimalen Berechtigungen
• Regelmäßige Sicherheitsaudits der IT-Infrastruktur
Diese sophistizierte Angriffskampagne verdeutlicht die kontinuierliche Evolution von Cryptojacking-Bedrohungen und die Notwendigkeit adaptiver Sicherheitsstrategien. Die gezielte Ausnutzung branchenspezifischer Infrastrukturen zeigt, dass moderne Cyberbedrohungen zunehmend spezialisiert und schwerer zu erkennen werden. Nur durch proaktive Sicherheitsmaßnahmen und kontinuierliche Bedrohungsanalyse können Unternehmen sich effektiv gegen solche ausgeklügelten Angriffe schützen.
