Дослідники з AhnLab Security Emergency Response Center (ASEC) виявили нову масштабну кампанію кібератак, що становить серйозну загрозу для операторів інтернет-кафе в Південній Кореї. Зловмисники розгорнули складну схему інфікування, яка поєднує троян віддаленого доступу Gh0st RAT із криптовалютним майнером T-Rex для несанкціонованого видобутку цифрових активів.
Еволюція кіберзагрози: від розвідки до атак
Аналіз показує, що кіберзлочинці ведуть активну діяльність з 2022 року, проте цілеспрямовані атаки на заклади інтернет-розваг розпочалися лише в другій половині 2024 року. Примітно, що всі скомпрометовані системи об’єднує одна спільна риса – використання спеціалізованого корейського програмного забезпечення для керування інтернет-кафе.
Найбільш загадковим аспектом цієї кампанії залишається невідомий первинний вектор атак. Експерти з кібербезпеки досі не змогли встановити, як саме зловмисники отримують початковий доступ до цільових систем, що ускладнює розробку превентивних заходів захисту.
Gh0st RAT: потужний інструмент кіберконтролю
Центральним елементом атакуючої інфраструктури виступає Gh0st RAT – троян віддаленого доступу, створений китайською хакерською групою C. Rufus Security Team. Відкритість вихідного коду цього шкідливого ПЗ дозволила кіберзлочинцям створити власну модифіковану версію з розширеними можливостями.
Функціональність використовуваного Gh0st RAT включає:
• Повний віддалений контроль над системою
• Маніпулювання файлами та процесами
• Збирання детальної системної інформації
• Перехоплення натискань клавіш
• Створення знімків екрана
Інноваційна техніка закріплення в пам’яті
Особливу увагу привертає унікальна методика “пропатчування” пам’яті керуючого ПЗ. Спеціалізований модуль шкідливого коду сканує активні процеси, виявляє цільову програму та порівнює структуру її пам’яті з попередньо підготовленим шаблоном. При виявленні збігу відбувається модифікація пам’яті, внаслідок якої ім’я WAV-файлу замінюється на cmd.exe.
Ця маніпуляція дозволяє розмістити dropper Gh0st RAT у директорії аудіофайлів керуючої програми, забезпечуючи прихований запуск вредоносного коду при певних діях користувача або системних подіях.
T-Rex майнер: спеціалізований вибір для GPU-майнінгу
На відміну від типових кампаній, де використовується популярний XMRig для видобутку Monero, атакуючі обрали майнер T-Rex. Це рішення обумовлене специфікою цільової інфраструктури: комп’ютери інтернет-кафе зазвичай оснащені потужними відеокартами для забезпечення якісного ігрового досвіду.
T-Rex ефективно використовує обчислювальну потужність GPU для майнінгу Ethereum та RavenCoin, що робить його значно прибутковішим у цьому контексті порівняно з CPU-майнерами. Дослідники також виявили випадки встановлення додаткового майнера Phoenix, що підтверджує комерційну мотивацію кіберзлочинців.
Стратегії захисту та контрзаходи
Розробник атакованого ПЗ для керування інтернет-кафе оперативно відреагував на загрозу, впровадивши спеціальний чорний список для блокування процесів шкідливого ПЗ. Однак фахівці з інформаційної безпеки рекомендують власникам закладів інтернет-розваг реалізувати комплексний підхід до захисту:
• Систематичне оновлення всього програмного забезпечення
• Постійний моніторинг мережевого трафіку на предмет аномальної активності
• Впровадження сучасних антивірусних рішень з функцією виявлення майнерів
• Обмеження адміністративних привілеїв для користувацьких облікових записів
Ця кампанія демонструє еволюцію кіберзагроз у сфері криптомайнінгу та критичну важливість комплексного підходу до забезпечення кібербезпеки комерційних інтернет-майданчиків. Своєчасне виявлення та аналіз подібних атак дозволяє спільноті інформаційної безпеки розробляти ефективні методи захисту від нових загроз та попереджати майбутні інциденти.
