사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)는 ESET 연구소에서 skip-2.0 이라는 새로운 백도어의 샘플을 발견했다고 밝혔습니다.

Skip-2.0 백도어는 최근 악명 높은 사이버 스파이 그룹 Winnti의 사이버 공격 무기고에 추가된 것으로 알려졌습니다. 특히 skip-2.0 은 MSSQL Server 11 및 12를 대상으로 하며 공격자는 매직 패스워드를 사용하여 MSSQL 계정에 연결할 수 있습니다. 이러한 연결은 로그에서 자동으로 숨겨집니다. 이러한 백도어를 통해 공격자는 데이터베이스 내용을 몰래 복사, 수정 또는 삭제할 수 있습니다. 예를 들어, 이것은 게임 내 통화를 조작하여 금융 이익을 얻기 위해 사용될 수 있습니다. Winnti 운영자들은 과거에도 게임 내 통화 데이터베이스를 악의적으로 조작한 것으로 알려져 있습니다.

Winnti 그룹을 조사하는 ESET 연구원 Mathieu Tartare 는, “이 백도어를 이용하면 공격자는 특수 암호를 사용하여 피해자의 MSSQL 서버에서 지속성을 확보할 수 있을 뿐만 아니라 해당 암호를 사용할 때 비활성화 된 여러 로그 및 이벤트 게시 메커니즘 덕분에 탐지되지 않은 상태를 유지할 수 있습니다.” 라고 설명하며, “여러 MSSQL Server 버전에 대해 skip-2.0 을 테스트한 결과 MSSQL Server 11 및 12에서만 특수 암호를 사용하여 성공적으로 로그인할 수 있음을 발견했습니다. MSSQL Server 11 및 12는 최신 버전이 아니지만 가장 일반적인 버전입니다.” 라고 덧붙였습니다.

ESET은 skip-2.0과 Winnti Group이 보유한 알려진 다른 악성 툴들 사이에 여러 유사점을 발견했습니다. 이러한 예로는 동일한 후킹 절차를 사용하는 VMProtected 런처, 커스텀 패커 및 Inner-Loader 인젝터 등이 있습니다. Tartare는, “이로 인해 skip-2.0 도 해당 툴셋의 일부 라고 생각하게 되었습니다.”라고 언급했습니다.

ESET 연구원들은 한동안 Winnti Group의 활동을 추적해 왔습니다. 이 그룹은 2012 년부터 활동해 왔으며 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 감행해 왔습니다. ESET은 최근 Winnti Group의 무기고에 대한 이해를 업데이트하고 이전에 문서화되지 않은 PortReuse 백도어를 공개하는 백서를 발표했습니다.

ESET 의 보안 블로그 게시물 “Winnti Group의 skip-2.0 : a Microsoft SQL Server backdoor”는 이 백도어의 더 많은 기능을 설명하는 기술 정보와 Winnti Group의 알려진 무기고, 특히 PortReuse 및 ShadowPad 백도어와의 유사성을 설명하는 기술 정보를 제공합니다.

• 보안뉴스 : 마법의 비밀번호로 로그인해 유령처럼 공격하는 백도어 스킵2.0
• 데이터넷 : 이셋 "MS SQL 서버 노린 백도어 발견"
• IT조선 : 이셋 "MS SQL 서버 백도어 발견"
• 데일리시큐 : MS SQL 서버 대상으로 하는 백도어 발견돼
• 아이뉴스24 : 이셋코리아, 中 해킹그룹 개발 추정 '스킵 2.0' 백도어 발견