러시아 사이버 보안 연구원들이 러시아와 홍콩을 표적으로 삼은 중국의 알려지지 않은 백도어를 포함하는 멀웨어 공격을 공개했다.

포지티브 테크놀로지(Positive Technologies)에 따르면, 이 캠페인은 윈티(Winnti 또는 APT41)의 소행으로 보이며, 2020년 5월 12일의 첫 번째 공격에서는 LNK 바로 가기를 사용해 악성 프로그램 페이 로드를 추출하고 실행했다.

또 5월 30일에 이루어진 두 번째 공격은 이력서와 IELTS 인증서로 위장한 두 개의 미끼 PDF 문서로의 바로 가기로 구성된 악성 RAR 압축 파일을 사용했다.

바로 가기는 셸코드 로더("svchast.exe")와 Crosswalk("3t54dE3r.tmp")라는 백도어를 포함하는 최종 단계 악성 프로그램을 가져오기 위해 사용되는 디자이너와 개발자를 위한 합법적인 협업 도구인 Zeplin에서 호스팅되는 페이지에 대한 링크가 포함되어 있다.

더해커뉴스에 따르면, 2017년 파이어아이가 처음으로 문서화한 Crosswalk는 시스템 정찰을 수행하고 공격자가 제어하는 서버에서 추가 모듈을 쉘코드로 받을 수 있는 베어본(bare-bone)모듈식 백도어이다.

이 방법은 2020년 피해자에 대한 공격을 위해 이메일에 첨부된 LNK 파일을 악용한 것으로 밝혀진 한국 위협 그룹 Higaisa와 유사점이 있지만, 연구원들은 Crosswalk의 사용이 Winnti임을 시사한다고 말했다.

이는 샘플의 네트워크 인프라가 이전에 알려진 APT41 인프라와 겹친다는 사실로도 뒷받침되며 일부 도메인은 2013년 온라인 비디오 게임 산업에 대한 Winnti 공격으로 거슬러 올라간다. 이번 공격의 표적 중에는 상트페테르부르크의 Unity3D 게임 개발사인 Battlestate Games가 포함된다.

또한 연구원들은 Cobalt Strike Beacon을 페이 로드로 포함하는 RAR 파일 형태의 추가 공격 샘플을 발견했으며, 해커들은 작년에 조지 플로이드(George Floyd)의 죽음과 관련된 미국 시위를 미끼로 사용했다.

또 다른 예로, 질럿 디지털(Zealot Digital)이라는 대만 회사의 손상된 인증서가 Crosswalk 및 메타스플로잇 인젝터, ShadowPad, Paranoid PlugX 및 FunnySwitch라는 새로운 .NET 백도어를 사용하여 홍콩 조직을 공격하기 위해 악용되었다.

아직 개발 중인 것으로 보이는 백도어는 시스템 정보를 수집하고 임의의 JScript 코드를 실행할 수 있다. 또한 Crosswalk와 많은 기능을 공유하므로 연구원들은 동일한 개발자에 작성된 것으로 판단하고 있다.

이전에 Paranoid PlugX는 2017년 비디오 게임 기업에 대한 공격과 관련 있었다. 따라서 Winnti의 네트워크인프라를 통한 악성 코드의 배포는 두 그룹 간에 관계가 있다는 추정에 근거를 더해준다.

연구원들은 "Winnti는 계속해서 러시아와 다른 곳에서 게임 개발자와 퍼블리셔를 노리고 있다. 소규모 스튜디오는 정보 보안을 소흘히 하는 경향이 있어 유혹적인 표적이 된다. 이미 잘 알려진 CCleaner 및 ASUS 사례에서 볼 수 있듯 소프트웨어 개발자에 대한 공격은 최종 사용자에게 위험하기 때문에 특히 위협적이다."라고 말한다.

★정보보안 대표 미디어 데일리시큐!★