2024-03-28 17:40 (목)
중국 정부 배후의 APT 그룹, 'Winnti unbrella' 존재 드러나
상태바
중국 정부 배후의 APT 그룹, 'Winnti unbrella' 존재 드러나
  • hsk 기자
  • 승인 2018.05.09 18:35
이 기사를 공유합니다

"여전히 진보하고 있으며 강력한 위협이 되고 있으므로 지속적인 주의 필요"

aaaa-1.jpg
보안 전문가들이 지난 수년간 있었던 여러 스파이 활동 캠페인을 분석한 결과, 이들을 중국 정부와 연관시킬 수 있다고 언급했다.

보안업체 프로텍와이즈(ProtectWise)가 보고한 것에 따르면, 중국어를 사용하는 활동가들이 속한 다양한 위협 그룹들이 ‘Winnti un-brella’(윈티 엄브렐라)라고 불리며 모두 중국 정보 기관과 연결되어 있다고 한다.

해당 보고서는 “이들 작전과 그룹들은 Winnti unbrella에 연결되어 있고 중국 정부 정보 기관하에서 운영되고 있다. 중국 정보 기관은 Winnti, PassCV, APT17, Axion, LEAD, BARIUM, Wicked Panda, GREF 등 많은 이름으로 보고되었다”고 설명한다.

전문가들은 Winnti unbrella 하에 Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, ShadowPad 등 여러 APT 그룹이 있는 것으로 추정한다. 이들 그룹은 유사한 전술, 기술 및 절차를 보여주며 일부 경우에는 동일한 해킹 인프라의 일부를 공유하기도 한다.

보고서는 “이 보고서에 설명된 다양한 작전들이 특정 타깃에 대해 여러 수준의 전문 지식을 갖춘, 중국 정부 외부 계약자들을 포함한 개인 팀들의 협력 작업이라고 생각하며, 이에 대해 중상위 수준의 확신을 가지고 있다”고 밝혔다.

이 APT 그룹은 적어도 2009년부터 활동해왔다. 처음에는 미국, 일본, 한국 및 중국의 게임 분야 및 기술 회사 조직을 대상으로 활동했고, 현재 Winnti unbrella의 주요 타깃은 위구르족과 티베트 활동가들, 중국 언론인, 태국 정부와 주요 국제 기술 회사들이다. 이러한 공격의 주요 목표는 향후 멀웨어 공격을 위한 코드 서명 인증서를 찾는 것이고 부차적인 목표는 재정과 관련되어 있다.

Winnti unbrella는 지난 3월에 발견된 가장 최근의 피싱 캠페인 중 하나로, 오피스 365와 구글 지메일 계정을 타깃으로 활발하게 활동하고 있다. 일반적으로 해커는 가치없는 클라우드 저장소가 있는 상태에서 나중에 공격에 사용 가능한 자격 증명을 취득하는 것을 목표로 한다.

또 전문가들은 “하지만 우리는 공격자가 프록시를 사용하지 않고 피해 시스템에 실수로 접근해 세션을 실행하는 사용자의 위치를 식별하는 경우도 발견했다. 이런 경우, 네트워크 블록은 221.216.0.0/13으로 차이나 유니콤 베이징 네트워크, 서성 지역이었다”고 말한다. Winnti unbrella와 관련 조직들은 여전히 진보하고 있으며 강력한 위협이 되고 있으므로 지속적인 주의가 필요하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★