台灣的資訊安全大會 – 台灣駭客年會(HITCON)上發表了一起針對多款線上遊戲的攻擊。兩款熱門線上遊戲的官方版本被發現有問題,會下載惡意軟體到系統上。HITCON和趨勢科技合作提供了清除工具給這波攻擊的潛在受害者。趨勢科技接著和受到影響的遊戲供應商合作來解決這起事件。
有問題的官方版本
被用在這波攻擊的遊戲是線上遊戲 – 英雄聯盟(LoL)和流亡黯道(Path of Exile)。遠端存取木馬(RAT)PlugX的變種出現在這些遊戲的官方版本,而且顯然地是針對於亞洲特定國家的使用者。
感染鏈經由下載合法安裝程式或更新遊戲而觸發。有問題的遊戲啟動程式會植入三個檔案:
- 合法遊戲啟動程式
- 用合法啟動程式來蓋掉有問題版本的「清理程式」
- 安裝PlugX檔案的植入程式
清理程式可以視為是一種掩飾惡意活動痕跡的作法。到最後,受害者只會看到兩個惡意檔案,NtUserEx.dll和NtUserEx.dat(都被偵測為BKDR_PLUGX.ZTBL-EC)。
PlugX允許遠端攻擊者在未經使用者許可或授權下執行惡意和資料竊取行為。PlugX變種往往會針對合法的應用程式,所以利用這些遊戲並不算是新手法。一個比較大的分別是這個PlugX變種會建立自己的自動啟動服務,而非利用合法應用程式的服務。
仔細檢查會發現「Cooper」字串出現在惡意軟體內。而在另一起APT攻擊活動中,「Lee Cooper」這名字被用來註冊命令與控制(C&C)伺服器,這顯示這兩起攻擊活動背後可能是相同的團體。
圖1、「Cooper」字串可以在惡意軟體中找到
同時檢查其憑證,我們注意到可疑檔案的雜湊值是有效的,意味著有用「簽章工具」來配對有問題檔案的雜湊值。而在另一方面,合法的遊戲啟動程式則帶有無效的數位簽章。
追查源頭
這些有問題的官方版本可以追查到Garena,這是一家亞洲的線上遊戲代理商。Garena和Riot Games、S2 Games和藝電等遊戲廠商有合作關係,所以對某些遊戲有獨家發行權。
在一份官方說明中,Garena說道「電腦和修補程式伺服器受到了木馬程式感染。結果造成所有英雄聯盟和流亡黯道的遊戲程式受到感染」。
臺灣和新加坡所受的影響最大
根據分析,似乎只有臺灣版本的英雄聯盟和流亡黯道受到影響。趨勢科技主動式雲端截毒服務 Smart Protection Network的反饋資料也支持這項發現。然而,我們也看到來自其他亞洲國家(如泰國、馬來西亞和香港)的受害者。
圖3、受影響的國家