ESET(이셋), Winnti Group이 비디오 게임 개발사를 타겟으로 하는 공격 발견

 

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Winnti Group이 여러 MMORPG 게임 개발 회사를 공격하기 위해 사용하는 새로운 모듈식 백도어를 발견했다고 밝혔습니다.

 

ESET이 PipeMon이라고 명명한 맬웨어는 한국과 대만의 회사를 공격대상으로 삼았습니다. 이 회사들이 개발한 게임은 전세계적으로 수천명의 동시 접속자가 있으며 주요 게임 플랫폼에서 이용됩니다.

 

공격자는 회사의 빌드 오케스트레이션 서버를 손상시켜 공격 대상자의 자동화된 빌드 시스템을 제어할 수 있게 했고 이를 통해 공격자가 비디오 게임 실행 파일을 트로이목마화 할 수 있었습니다.

 

또다른 경우 회사의 게임 서버를 손상시키고 이 공격을 통해 금전적 이익을 위해 게임 내 통화를 조작하는 것이 가능할 수 있습니다. ESET은 영향을 받는 회사에 연락하여 이 문제를 해결하는 데에 필요한 정보와 지원을 제공했습니다.

 

Winnti 그룹을 모니터링하는 ESET 연구원인 Mathieu Tartare는,
“여러 지표로 인해 우리는 이 캠페인이 Winnti Group에 의한 것으로 보고 있습니다. PipeMon에서 사용하는 일부 명령 및 제어 도메인은 이전 캠페인에서 Winnti 맬웨어에 의해 사용되었습니다. 또한 2020년에 PipeMon에 감염된 것으로 밝혀진 동일한 회사에서는 2019년에도 다른 Winnti 멀웨어가 발견된 사례가 있습니다.”
라고 언급했습니다.

 

PipeMon은 연구원들이 블로그 포스트에서 조사한 다른 주목할 만한 것들과 유사점이 있습니다. 새로운 모듈형 백도어 PipeMon은 이전 캠페인에서 도난당한 것으로 보이는 코드사인 인증서로 서명되었으며 PortReuse 백도어와 유사성을 공유합니다.

 

Mathieu Tartare는,
"이 새로운 백도어는 공격자가 여러 오픈소스 프로젝트를 사용하여 새로운 도구를 적극적으로 개발하고 있으며 그들의 주요 백도어인 ShadowPad 및 Winnti 맬웨어에만 의존하지 않는다는 것을 보여줍니다."
라고 덧붙였습니다.

 

ESET은 PipeMon의 두 가지 변종을 추적할 수 있었습니다.

 

최신 Winnti 백도어에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 No ‘Game over’ for the Winnti Group를 참고하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

 

2012년부터 활동 중인 Winnti Group은 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 담당하여 더 많은 피해를 야기하기 위해 트로이 목마화 된 소프트웨어(예 : CCleaner, ASUS LiveUpdate 및 여러 비디오 게임)를 배포합니다. 최근 ESET 연구원들은 ShadowPad 및 Winnti 악성 코드를 사용하여 여러 홍콩 대학을 대상으로 하는 Winnti Group의 활동을 발견했습니다. 이 그룹의 무기에 대한 자세한 내용은 2019년 10월에 게시된 백서에서 확인하십시오.

 

 

• 파이낸셜신문 : 윈티그룹 "한국·대만 모바일게임사 타깃 공격 주의하라"​
• IT WORLD : "윈티 그룹, 비디오 게임 개발업체 표적 공격" 이셋 발표​
• 데일리시큐 : 맬웨어가 공식 안드로이드 앱스토어에 진입하기 위해 사용하는 새로운 트릭 발견​