이셋코리아는 Winnti Group이 여러 MMORPG 게임 개발 회사를 공격하기 위해 사용하는 새로운 모듈식 백도어를 발견했다고 밝혔다.

ESET이 PipeMon이라고 명명한 맬웨어는 한국과 대만의 회사를 공격대상으로 삼았다. 이 회사들이 개발한 게임은 전세계적으로 수천 명의 동시 접속자가 있으며 주요 게임 플랫폼에서 이용된다.

공격자는 회사의 빌드 오케스트레이션 서버를 손상시켜 공격 대상자의 자동화된 빌드 시스템을 제어할 수 있게 했고, 이를 통해 공격자가 비디오 게임 실행 파일을 트로이목마화 할 수 있었다.

또 다른 경우 회사의 게임 서버를 손상시키고 이 공격을 통해 금전적 이익을 위해 게임 내 통화를 조작하는 것이 가능할 수 있었다. 이에 ESET은 영향을 받는 회사에 연락해 이 문제를 해결하는 데에 필요한 정보와 지원을 제공했다.

Winnti 그룹을 모니터링하는 ESET 연구원인 Mathieu Tartare는 “여러 지표로 인해 우리는 이 캠페인이 Winnti Group에 의한 것으로 보고 있다. PipeMon에서 사용하는 일부 명령 및 제어 도메인은 이전 캠페인에서 Winnti맬웨어에 의해 사용되었고 또한 2020년에 PipeMon에 감염된 것으로 밝혀진 동일한 회사에서는 2019년에도 다른 Winnti멀웨어가 발견된 사례가 있었다”라고 말했다.

PipeMon은 연구원들이 블로그 포스트에서 조사한 다른 주목할 만한 것들과 유사점이 있는데 그것은 새로운 모듈형 백도어 PipeMon은 이전 캠페인에서 도난당한 것으로 보이는 코드사인 인증서로 서명되었으며, PortReuse 백도어와 유사성을 공유한다는 것이다.

Mathieu Tartare는 "이 새로운 백도어는 공격자가 여러 오픈소스 프로젝트를 사용하여 새로운 도구를 적극적으로 개발하고 있으며 그들의 주요 백도어인 ShadowPad 및 Winnti맬웨어에만 의존하지 않는다는 것을 보여준다"라고 덧붙여 말했다.

ESET 측은 PipeMon의 두 가지 변종을 추적할 수 있었다. 최신 Winnti 백도어에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 No ‘Game over’ for the Winnti Group를 참고하면 된다.

한편 2012년부터 활동 중인 Winnti Group은 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 담당하여 더 많은 피해를 야기하기 위해 트로이 목마화된 소프트웨어(예-CCleaner, ASUS LiveUpdate 및 여러 비디오 게임)를 배포한다. 최근 ESET 연구원들은 ShadowPad 및 Winnti 악성 코드를 사용하여 여러 홍콩 대학을 대상으로 하는 Winnti Group의 활동을 발견했다.

★정보보안 대표 미디어 데일리시큐!