사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)ESET 연구소에서 skip-2.0 이라는 새로운 백도어의 샘플을 발견했다고 밝혔습니다.

 

Skip-2.0 백도어는 최근 악명 높은 사이버 스파이 그룹 Winnti의 사이버 공격 무기고에 추가된 것으로 알려졌습니다. 특히 skip-2.0 MSSQL Server 11 12를 대상으로 하며 공격자는 매직 패스워드를 사용하여 MSSQL 계정에 연결할 수 있습니다. 이러한 연결은 로그에서 자동으로 숨겨집니다. 이러한 백도어를 통해 공격자는 데이터베이스 내용을 몰래 복사, 수정 또는 삭제할 수 있습니다. 예를 들어, 이것은 게임 내 통화를 조작하여 금융 이익을 얻기 위해 사용될 수 있습니다. Winnti 운영자들은 과거에도 게임 내 통화 데이터베이스를 악의적으로 조작한 것으로 알려져 있습니다.

 

Winnti 그룹을 조사하는 ESET 연구원 Mathieu Tartare , “이 백도어를 이용하면 공격자는 특수 암호를 사용하여 피해자의 MSSQL 서버에서 지속성을 확보할 수 있을 뿐만 아니라 해당 암호를 사용할 때 비활성화 된 여러 로그 및 이벤트 게시 메커니즘 덕분에 탐지되지 않은 상태를 유지할 수 있습니다.” 라고 설명하며, “여러 MSSQL Server 버전에 대해 skip-2.0 을 테스트한 결과 MSSQL Server 11 12에서만 특수 암호를 사용하여 성공적으로 로그인할 수 있음을 발견했습니다. MSSQL Server 11 12는 최신 버전이 아니지만 가장 일반적인 버전입니다.” 라고 덧붙였습니다.

 

ESETskip-2.0Winnti Group이 보유한 알려진 다른 악성 툴들 사이에 여러 유사점을 발견했습니다. 이러한 예로는 동일한 후킹 절차를 사용하는 VMProtected 런처, 커스텀 패커 및 Inner-Loader 인젝터 등이 있습니다. Tartare, “이로 인해 skip-2.0 도 해당 툴셋의 일부 라고 생각하게 되었습니다.”라고 언급했습니다.

 

ESET 연구원들은 한동안 Winnti Group의 활동을 추적해 왔습니다. 이 그룹은 2012 년부터 활동해 왔으며 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 감행해 왔습니다. ESET은 최근 Winnti Group의 무기고에 대한 이해를 업데이트하고 이전에 문서화되지 않은 PortReuse 백도어를 공개하는 백서를 발표했습니다.

 

ESET 의 보안 블로그 게시물 Winnti Group의 skip-2.0 : a Microsoft SQL Server backdoor는 이 백도어의 더 많은 기능을 설명하는 기술 정보와 Winnti Group의 알려진 무기고, 특히 PortReuse ShadowPad 백도어와의 유사성을 설명하는 기술 정보를 제공합니다.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요