PlugX 백도어(Backdoor)는 대표적인 중국(China) APT(Advanced Persistent Threat) 악성코드로 유명하며, 2014년 10월~11월 Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)를 통해서도 Win32/Plugx 진단명으로 제거가 이루어지기 시작하였습니다.
그런데 최근 Trend Micro 보안 업체에서는 2014년 11월경부터 대만(82.59%), 싱가포르(6.2%), 태국(4.18%), 말레이시아(4.43%), 홍콩(1.97%) 등의 아시아(Asia) 국가를 대상으로 League of Legends(LoL), Path of Exile(PoE), FIFA Online 3 온라인 게임 서버를 통해 PlugX 악성코드를 유포한 정보를 공개하였습니다.
감염 방식은 League of Legends(LoL), Path of Exile(PoE), FIFA Online 3 온라인 게임 사용자가 게임 실행을 할 경우 업데이트 서버로부터 악성 파일(GAMELAUNCHER.exe, FO3Launcher.exe)을 다운로드하여 정상 파일을 악성 파일<SHA-1 : f920e6b34fb25f54c5f9b9b3a85dca6575708631 - 알약(ALYac) : Dropped:Trojan.Generic.12127006>로 패치하여 자신을 은폐합니다.
특히 악성 파일로 패치된 게임 런처 파일(GAMELAUNCHER.exe, FO3Launcher.exe)은 유효한 디지털 서명(Garena Online Pte Ltd)이 포함되어 있는 것을 확인할 수 있습니다.
이를 통해 홍콩(Hong Kong)에 위치한 특정 서버에서 PlugX 악성코드 다운로드를 통해 다음과 같은 악성 파일을 생성합니다.
- C:\Windows\System32\NtUserEx.dll (SHA-1 : bd33a49347ef6b175fb9bdbf2b295763e79016d6) - AhnLab V3 : Trojan/Win32.Agent
- C:\Windows\System32\NtUserEx.dat (SHA-1 : f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78) - Trend Micro : BKDR_PLUGX.ZTBL-EC
감염된 환경에서는 악의적인 명령에 따라 외부로 정보 유출 및 원격 제어(RAT)가 가능하며 2014년 12월경에 집중적으로 유포가 이루어진 것으로 추정됩니다.
Trend Micro 보안 업체의 분석 내용에서는 악성 파일 내부에 "Cooper" 스트링 문자열이 발견되고 있으며, 해당 문자열은 기존의 APT 활동과 관련된 PlugX C&C 서버 등록자 중에 "Lee Cooper"라는 이름을 사용한 적이 있다고 밝히고 있습니다.
이번과 같이 유명 온라인 게임 서버를 해킹하여 디지털 인증서 탈취 및 업데이트를 통한 PlugX 유포는 전형적인 해당 APT 해커 조직의 수법으로 특별한 사례는 아니지만 워낙 유명한 게임 서버를 통한 유포가 이루어졌다는 점에서 국내 온라인 게임 사용자들도 주의가 요구됩니다.