PlugX 백도어(Backdoor)는 대표적인 중국(China) APT(Advanced Persistent Threat) 악성코드로 유명하며, 2014년 10월~11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)를 통해서도 Win32/Plugx 진단명으로 제거가 이루어지기 시작하였습니다.

그런데 최근 Trend Micro 보안 업체에서는 2014년 11월경부터 대만(82.59%), 싱가포르(6.2%), 태국(4.18%), 말레이시아(4.43%), 홍콩(1.97%) 등의 아시아(Asia) 국가를 대상으로 League of Legends(LoL), Path of Exile(PoE), FIFA Online 3 온라인 게임 서버를 통해 PlugX 악성코드를 유포한 정보를 공개하였습니다.

 

감염 방식은 League of Legends(LoL), Path of Exile(PoE), FIFA Online 3 온라인 게임 사용자가 게임 실행을 할 경우 업데이트 서버로부터 악성 파일(GAMELAUNCHER.exe, FO3Launcher.exe)을 다운로드하여 정상 파일을 악성 파일<SHA-1 : f920e6b34fb25f54c5f9b9b3a85dca6575708631 - 알약(ALYac) : Dropped:Trojan.Generic.12127006>로 패치하여 자신을 은폐합니다.

특히 악성 파일로 패치된 게임 런처 파일(GAMELAUNCHER.exe, FO3Launcher.exe)은 유효한 디지털 서명(Garena Online Pte Ltd)이 포함되어 있는 것을 확인할 수 있습니다.

 

이를 통해 홍콩(Hong Kong)에 위치한 특정 서버에서 PlugX 악성코드 다운로드를 통해 다음과 같은 악성 파일을 생성합니다.

  • C:\Windows\System32\NtUserEx.dll (SHA-1 : bd33a49347ef6b175fb9bdbf2b295763e79016d6) - AhnLab V3 : Trojan/Win32.Agent
  • C:\Windows\System32\NtUserEx.dat (SHA-1 : f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78) - Trend Micro : BKDR_PLUGX.ZTBL-EC

감염된 환경에서는 악의적인 명령에 따라 외부로 정보 유출 및 원격 제어(RAT)가 가능하며 2014년 12월경에 집중적으로 유포가 이루어진 것으로 추정됩니다.

 

Trend Micro 보안 업체의 분석 내용에서는 악성 파일 내부에 "Cooper" 스트링 문자열이 발견되고 있으며, 해당 문자열은 기존의 APT 활동과 관련된 PlugX C&C 서버 등록자 중에 "Lee Cooper"라는 이름을 사용한 적이 있다고 밝히고 있습니다.

 

이번과 같이 유명 온라인 게임 서버를 해킹하여 디지털 인증서 탈취 및 업데이트를 통한 PlugX 유포는 전형적인 해당 APT 해커 조직의 수법으로 특별한 사례는 아니지만 워낙 유명한 게임 서버를 통한 유포가 이루어졌다는 점에서 국내 온라인 게임 사용자들도 주의가 요구됩니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..