Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향러시아와 해외의 게임 개발자를 목표로하는 Winnti APT
작성일 2021-01-18 조회 56

Positive Technologies의 사이버 보안 연구원들은 러시아와 홍콩의 조직을 목표로 한 APT 그룹을 발견했다. 전문가들은 해당 공격을 중국과 연결된 Winnit APT 그룹(APT41)의 소행으로 보고 있으며, 공격자들은 이전에 문서화되지 않은 백도어를 공격에 사용한 것으로 보고했다.

 

 

Winnti 그룹은 2013년 Kaspersky에 의해 처음 발견되었지만, 연구원들에 따르면 2007년부터 활동했다.

 

 

전문가들은 Winnit 산하에 Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, Group 72, Blackfly, ShadowPad를 포함한 여러 APT 그룹이 포함되어 있다고 생각한다.

 

 

APT 그룹은 항공, 게임, 제약, 기술, 통신 및 소프트웨어 개발 산업을 포함한 다양한 산업의 조직을 대상으로 했다.

 

 

Positive Technologies에 의해 문서화된 최신 공격은 전문가들이 초기에 Higaisa 위협 행위자의 새로운 악성코드로 샘플을 탐지했을 때인 2020년 5월 12일에 처음 발견되었다. 해당 공격을 조사하는 과정에서 전문가들은 다양한 드로퍼, 로더, 인젝터를 포함하여 공격자가 사용하는 새로운 악성코드 샘플을 여러 개 발견했다. 공격자들은 또한 Crosswalk, ShadowPad, PlugX 백도어를 사용했지만, 보안 연구원들은 이전에 문서화되지 않은 백도어 샘플도 발견했으며, 해당 샘플은 FunnySwitch라고 명명했다.

 

 

첫 번째 공격에서는 위협 행위자가 LNK 파일을 사용하여 악성 프로그램 페이로드를 추출하고 실행했으며, 5월 30일에 탐지된 두 번째 공격에서는 위협 행위자가 CV 및 IELTS 인증서를 가진 두 미끼 PDF 문서에 대한 바로 가기를 포함하는 악의적인 아카이브(CV_Colliers.rar)를 사용했다.

 

 

LNK 파일에는 디자이너와 개발자 간의 합법적인 협업 서비스인 Zeplin에서 호스팅되는 대상 페이지에 대한 링크가 포함되어 있다.

 

 

페이로드는 두 개의 파일, 즉 단순한 로컬 셸 코드 로더 역할을 하는 svchast.exe와 주 페이로드(Crosswalk 악성코드)를 포함하는 셸 코드인 '3t54dE3r.tmp'로 구성된다.

 

 

Crosswalk는 2017년 FireEye의 연구원들에 의해 처음 발견되었으며, Winnit 그룹(APT41)과 관련된 활동 분석에 포함되었다. 악성코드는 시스템 정찰 기능을 구현하고 추가 페이로드를 제공할 수 있는 모듈식 백도어이다.

 

 

전문가들은 또한 네트워크 인프라가 APT41의 인프라와 상당히 겹치는 것을 발견했다.

 

 

"샘플의 네트워크 인프라는 이전에 알려진 APT41 인프라와 겹친다. C2 서버 중 하나의 IP 주소에서 SHA-1 값이 b8cff709950cfa86653d95532db SSL 인증서를 찾을 수 있으면 IP 주소는 67[.]299[.]97[.]299이다. 나아가 2013년에 작성된 Kaspersky 보고서에서 도메인을 찾을 수 있다."라고 Positive Technologies가 발간한 보고서는 설명한다. "이 모든 것이 LNK 파일 공격이 Higaisa의 기술을 차용하여 Winnti (APT41)에 의해 수행되었다는 결론을 내리게 한다."

Winnti 인프라

[그림 1. 네트워크 인프라 일부]

 

 

Winnti 그룹은 컴퓨터 게임 산업에 중점을 두었으며, 과거에는 게임 개발자를 대상으로 했고, 최근에는 같은 산업의 러시아 회사를 공격했다. 최근 공격 대상에는 상트페테르부르크의 Unity3D 게임 개발 업체인 Battlestate Games가 포함되어있다.

 

 

6월에 연구원들은 활성화된 C2 서버 중 하나에서 HttpFile 서버를 탐지했다. HFS에는 이메일 아이콘, 러시아어 텍스트가 있는 게임의 스크린숏, 게임 개발 회사 사이트의 스크린숏, Microsoft 웹 사이트의 취약성에 대한 CVE-2020-0796의 스크린숏이 포함되어 있었다. 파일은 두 달 후인 2020년 8월 20일, Cobalt Strike Beacon PL 셸코드에 대한 자체 포함 로더를 활용한 공격에 사용되었다.

 

 

"Winnti는 러시아 및 기타 국가에서 게임 개발자와 게시자를 계속 추적하고 있다. 소규모 스튜디오는 정보 보안을 소홀히 하는 경향이 있어 유혹적인 대상이 된다. 소프트웨어 개발자에 대한 공격은 CCleaner 및 ASUS의 잘 알려진 사례에서 이미 발생했듯이 최종 사용자에게 부과되는 위험으로 인해 특히 위험하다. 보안 침해를 적시에 탐지하고 조사함으로써 기업은 그러한 시나리오의 피해자가 되는 것을 방지 할 수 있다."라고 보고서를 결론지었다.

첨부파일 첨부파일이 없습니다.
태그 Winnti   APT41