Специалисты компании AhnLab Security Emergency Response Center (ASEC) выявили масштабную кампанию кибератак, направленную против интернет-кафе в Южной Корее. Злоумышленники используют комплексную схему заражения, включающую троян удаленного доступа Gh0st RAT и криптовалютный майнер T-Rex для незаконной добычи цифровых активов.
Хронология и масштаб кибератак
Согласно данным исследования, злоумышленник ведет активную деятельность с 2022 года, однако целенаправленные атаки на интернет-кафе начались во второй половине 2024 года. Основной мишенью хакеров стали системы с установленным специализированным программным обеспечением для управления интернет-кафе корейского производства.
Эксперты отмечают, что первоначальный вектор компрометации до сих пор остается неизвестным, что усложняет процесс защиты от подобных атак. Однако анализ показывает четкую закономерность: все зараженные системы использовали одинаковое ПО для управления клиентскими местами.
Технический анализ вредоносного ПО
Gh0st RAT: инструмент удаленного управления
В качестве основного инструмента контроля над скомпрометированными системами злоумышленники используют Gh0st RAT — троян удаленного доступа, разработанный китайской группой C. Rufus Security Team. Поскольку исходный код этого вредоноса находится в открытом доступе, киберпреступники активно создают на его основе собственные модификации.
Используемая в атаках версия Gh0st RAT обладает расширенным функционалом:
• Удаленное управление системой
• Манипуляции с файлами и процессами
• Сбор системной информации
• Функции кейлоггера
• Создание скриншотов экрана
Методы закрепления в системе
Особый интерес представляет техника «патчинга» памяти управляющего ПО интернет-кафе. Специальный модуль вредоноса сканирует запущенные процессы, ищет целевое приложение и сравнивает структуру его памяти с заранее подготовленным шаблоном. При обнаружении совпадения происходит модификация памяти, в результате которой имя WAV-файла заменяется на cmd.exe.
Эта манипуляция позволяет разместить дроппер Gh0st RAT в директории звуковых файлов программы управления, обеспечивая скрытое выполнение вредоносного кода при определенных действиях пользователя или системы.
Криптомайнинг как основная цель атак
В отличие от большинства подобных кампаний, где используется популярный майнер XMRig для добычи Monero, злоумышленники выбрали майнер T-Rex. Это решение обусловлено спецификой целевой инфраструктуры: компьютеры в интернет-кафе традиционно оснащаются мощными видеокартами для обеспечения комфортного игрового процесса.
T-Rex эффективно использует вычислительную мощность GPU для майнинга Ethereum и RavenCoin, что делает его более прибыльным в данном контексте по сравнению с CPU-майнерами. В некоторых случаях исследователи также обнаружили установку дополнительного майнера Phoenix, что подтверждает коммерческую мотивацию атакующих.
Меры противодействия и рекомендации
Производитель атакованного ПО для управления интернет-кафе уже принял ответные меры, внедрив специальный черный список для блокировки процессов вредоносного ПО. Однако эксперты рекомендуют владельцам интернет-кафе принять дополнительные меры безопасности:
• Регулярное обновление всего программного обеспечения
• Мониторинг сетевого трафика на предмет подозрительной активности
• Использование современных антивирусных решений с функцией обнаружения майнеров
• Ограничение административных привилегий для пользовательских учетных записей
Данная кампания демонстрирует эволюцию киберугроз в сфере криптомайнинга и важность комплексного подхода к обеспечению кибербезопасности коммерческих интернет-площадок. Своевременное выявление и анализ подобных атак позволяет сообществу информационной безопасности разрабатывать эффективные методы защиты от новых угроз.
