Home > 전체기사
중국의 APT 단체, 지난 10월부터 홍콩의 대학교 정찰해
  |  입력 : 2020-02-05 09:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2009년부터 활동해 온 윈티 그룹, 여러 산업에서 정찰 활동 벌여 와
이번에 사용된 건 윈티 그룹의 대표적 백도어인 셰도우패드의 새 버전


[보안뉴스 문가용 기자] 중국 정부와 관련이 있는 해킹 그룹인 윈티(Winnti)가 셰도우패드(ShadowPad)라는 백도어의 새 변종을 사용해 홍콩의 대학들을 공격했다고 보안 업체 이셋(ESET)이 발표했다.

[이미지 = iclickart]


윈티는 2009년부터 활동해온 것으로 알려진 단체로, 액시엄(Axiom), 바륨(Barium), 그룹 72(Group 72), 블랙플라이(Blackfly), APT41 등의 해킹 단체와 같은 기치 아래 활동한다. 이 단체들은 전부 사이버 정찰 활동을 통해 항공, 게임, 제약, 기술, 통신, 소프트웨어 개발 산업에서 각종 정보를 훔쳐내는 것으로 악명이 높다.

작년 10월 이셋은 윈티가 새로운 백도어 두 가지를 사용하기 시작했다고 발표했다. 포트리유즈(PortReuse)와 스킵2.0(skip-2.0)이었다. 그로부터 한 달 후, 이셋은 윈티가 새로운 캠페인에 착수했음을 알아냈고, 공격 대상이 홍콩의 대학이었다는 걸 파악했다. 또한 윈티의 대표 멀웨어인 셰도우패드가 활용되고 있다는 것도 알게 됐다. “게다가 윈티라는 멀웨어가 캠페인 시작 몇 주 전부터 피해 대학의 시스템에서 발견되기도 했습니다.”

공격에 활용된 캠페인 식별자들과 C&C URL을 멀웨어 샘플에서 추출해 분석하니 대학교들의 이름이 나왔다. “윈티로 감염시켰다가 자신들의 최고 무기인 셰도우패드까지 들고 나오고, 공격 대상의 이름이 애초부터 언급되어 있다는 것을 봤을 때 윈티 공격자들이 마음을 단단히 먹고 표적 공격을 한 것이 분명해 보입니다. 최소 세 개의 대학이 이 캠페인에 당한 것 같습니다.” 이셋 측의 설명이다.

이셋은 일부 피해 대학들을 도와 사건 조사와 시스템 복구 등을 돕기도 했다고 한다. “입수된 데이터나 시스템 상태를 봤을 때 일단 시스템 내 멀웨어들은 성공적으로 제거된 것으로 보입니다. 하지만 모든 대학을 다 검사해본 것도 아니고, 따라서 현재 홍콩 대학들이 안심할 단계라거나, 중국 윈티의 캠페인이 끝난 상태라고 결론을 내리기는 힘듭니다.”

이번에 발견된 셰도우패드는 이전 버전에 비해 훨씬 간소해진 상태라고 한다. “DLL 사이드 로딩 기법을 통해 실행되는 것으로 보입니다. 디스크에 부모 프로세스를 작성하는 방식으로 공격 지속성을 확보하며, 마이크로소프트 닷넷(.NET) 최적화 서비스와 비슷한 이름을 활용함으로써 의심 사는 걸 최소화 하기도 합니다.”

셰도우패드 백도어는 17개의 모듈로 구성되어 있기도 한데, 1) 최초 셸코드 실행, 2) 모듈 로더, 3) 공격 지속, 4) 통신, 5) 사용자 위조, 6) 프로세스와 서비스 처리, 7) 키로거, 8) 스크린샷 캡쳐, 9) 레지스트리 조작, 10) 파일 시스템 조작, 11) 명령행 조작 등의 기능을 수행한다. 여기에 리슨트파일즈(RecentFiles)라는 모듈이 뒤늦게 추가로 발견되기도 했다. 피해자가 최근 접근한 파일의 목록을 만드는 모듈이다.

타임스탬프를 추적했을 때 공격자들이 이 모듈들을 전부 컴파일링한 건 10월 24일로 보인다. 런처가 컴파일링 되기 수시간 전, 캠페인이 시작되기 수주 전이다.

셰도우패드는 실행과 동시에 마이크로소프트 미디어 플레이어의 프로세스(wmplayer.exe)를 실행시키고 스스로를 거기에 주입한다. 그 다음으로는 설정 사항을 통해 지정된 URL에 접속하는데, 이것이 C&C 서버다. 윈티와 셰도우패드 멀웨어 모두 비슷한 URL과 통신을 하고 있었다고 이셋은 밝혔다.

“중국 정부가 홍콩 사태 때문에 홍콩 대학가들에 대한 관심이 높아진 것으로 보입니다. 여러 데이터나 정황을 살폈을 때 이번 캠페인은 고도의 표적 공격으로 구성되어 있음이 분명하고, 철저하고 꼼꼼한 계획 하에 진행된 것이 거의 확실합니다. 공격을 하고자 하는 동기가 분명했다는 것이죠.”

3줄 요약
1. 중국의 공격 그룹 윈티, 지난 10월부터 홍콩 대학들 공격.
2. 처음부터 꼼꼼하게 기획된 표적 공격으로 보임.
3. 셰도우패드의 새로운 변종을 이번 공격에 활용.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)