PlugX惡意軟體出現在官方版本的英雄聯盟和流亡黯道

台灣的資訊安全大會 – 台灣駭客年會(HITCON)發表了一起針對多款線上遊戲的攻擊。兩款熱門線上遊戲的官方版本被發現有問題,會下載惡意軟體到系統上。HITCON和趨勢科技合作提供了清除工具給這波攻擊的潛在受害者。趨勢科技接著和受到影響的遊戲供應商合作來解決這起事件。

Plugx

有問題的官方版本

被用在這波攻擊的遊戲是線上遊戲 – 英雄聯盟(LoL)和流亡黯道(Path of Exile)。遠端存取木馬(RAT)PlugX的變種出現在這些遊戲的官方版本,而且顯然地是針對於亞洲特定國家的使用者。

感染鏈經由下載合法安裝程式或更新遊戲而觸發。有問題的遊戲啟動程式會植入三個檔案:

  • 合法遊戲啟動程式
  • 用合法啟動程式來蓋掉有問題版本的「清理程式」
  • 安裝PlugX檔案的植入程式

清理程式可以視為是一種掩飾惡意活動痕跡的作法。到最後,受害者只會看到兩個惡意檔案,NtUserEx.dllNtUserEx.dat(都被偵測為BKDR_PLUGX.ZTBL-EC)。

PlugX允許遠端攻擊者在未經使用者許可或授權下執行惡意和資料竊取行為。PlugX變種往往會針對合法的應用程式,所以利用這些遊戲並不算是新手法。一個比較大的分別是這個PlugX變種會建立自己的自動啟動服務,而非利用合法應用程式的服務。

仔細檢查會發現「Cooper」字串出現在惡意軟體內。而在另一起APT攻擊活動中,「Lee Cooper」這名字被用來註冊命令與控制(C&C)伺服器,這顯示這兩起攻擊活動背後可能是相同的團體。

圖1、「Cooper」字串可以在惡意軟體中找到

同時檢查其憑證,我們注意到可疑檔案的雜湊值是有效的,意味著有用「簽章工具」來配對有問題檔案的雜湊值。而在另一方面,合法的遊戲啟動程式則帶有無效的數位簽章。

追查源頭

這些有問題的官方版本可以追查到Garena,這是一家亞洲的線上遊戲代理商。Garena和Riot Games、S2 Games和藝電等遊戲廠商有合作關係,所以對某些遊戲有獨家發行權。

在一份官方說明中,Garena說道「電腦和修補程式伺服器受到了木馬程式感染。結果造成所有英雄聯盟和流亡黯道的遊戲程式受到感染」。

臺灣和新加坡所受的影響最大

根據分析,似乎只有臺灣版本的英雄聯盟和流亡黯道受到影響。趨勢科技主動式雲端截毒服務  Smart Protection Network的反饋資料也支持這項發現。然而,我們也看到來自其他亞洲國家(如泰國、馬來西亞和香港)的受害者。

圖3、受影響的國家

分析C&C活動顯示這些國家都會存取該C&C伺服器。惡意軟體活動在Garena發表其官方公告後不久就停止了。

保護遊戲玩家

而現在,已經確認Garena網站和其他相關連結的安裝程式從2014年12月29日開始都是乾淨的。趨勢科技已經釋出針對相關感染的清除工具供玩家使用。Garena也建議了以下步驟來保護玩家帳號:

  • 更新遊戲
  • 利用安全解決方案掃描電腦
  • 變更帳號密碼
  • 使用Garena所提供的兩步驟認證

趨勢科技可以偵測和封鎖所有相關威脅。

相關檔案的雜湊值:

  • f920e6b34fb25f54c5f9b9b3a85dca6575708631 (FO3Launcher.exe)
  • bd33a49347ef6b175fb9bdbf2b295763e79016d6 (NtUserEx.dll)
  • f3eabaf2d7c21994cd2d79ad8a6c0acf610bbf78 (NtUserEx.dat)

 

額外分析來自Jimmy Hung、Marco Dela Vega、MingYen Hsieh、Nancy Chuang、Razor Huang、Tim Yeh和Vico Fang

 

@原文出處:PlugX Malware Found in Official Releases of League of Legends, Path of Exile作者:Benson Sy(威脅分析師)