보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

국제 사이버범죄조직 Winnti, 부트킷 공격으로 한국 노려

입력 : 2015-10-06 14:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
대한민국 기업 노린 APT 공격 배후로 밝혀진 Winnti 해킹 그룹
HDRoot의 부트킷 보안위협으로 소프트웨어 회사 대상 노려


[보안뉴스 김경애] 한국이 일본, 중국, 방글라데시, 인도네시아와 함께 동남아 지역에서 Winnti 그룹의 주요 공격 국가 중 하나로 드러났다. 또한, 영국과 러시아 기업에서도 이전에 Winnti 그룹의 표적이 된 것으로 나타났다.



카스퍼스키랩 연구진에 따르면 사이버 범죄 조직인 Winnti는 주로 소프트웨어 회사를 대상으로 산업 사이버 스파이 활동을 전개하는 것으로 알려져 있다. 그 중에서도 게임 산업을 노리고 있으며, 최근에는 제약 산업 분야에도 손을 뻗치고 있다고 밝혔다.

특히 사이버 범죄 조직 Winnti 해킹 그룹이 부트킷 설치 프로그램을 기반으로 하는사이버 공격에 초점을 맞추고 있다는 것.

카스퍼스키랩 연구진의 분석 결과 HDRoot의 부트킷은 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼으로 모든 종류의 악성 코드를 실행하기 위한 발판으로도 사용될 수 있다.

또한 연구진에 따르면 이 플랫폼을 활용해 실행된 2가지 종류의 백도어를 발견했고, 아직 밝혀지지 않은 백도어가 더 많은 것으로 추정하고 있다. 백도어 중 하나는 대한민국의 대표적인 안티 바이러스 제품을 무력화하는 기능이 있는 것으로 드러났다.

HDRoot은 Winnti 그룹이 만들어진 초기에 합류한 누군가가 HDD 루트킷을 기반으로 개발한 것으로 보이며, Winnti가 조직으로서 모양을 갖추기 시작한 시기는 2009년으로 카스퍼스키랩은 보고 있다. 또한, Winnti 그룹에서 다른 조직의 소프트웨어를 활용했을 가능성도 있으며, 이러한 유틸리티와 소스 코드는 중국이나 다른 사이버 범죄 블랙마켓에서 유통되고 있을 것으로 분석했다.

이와 관련 중국 기업인 Guangzhou YuanLuo Technology에서 도난당한 것으로 알려진 인증서가 VMProtect Win64 실행 파일로 서명된 바 있다. 이 인증서는 Winnti 그룹에서 다른 공격 툴을 서명할 때도 이용되는 것으로 분석됐다. 또한 Microsoft의 net.exe 파일로 가장할 수 있도록 실행 파일의 속성이 변조된다. 즉, 시스템 관리자가 이 파일을 위험한 것으로 인식하지 못하게 하는 것이다.

게다가 카스퍼스키랩에서는 Winnti 악성 코드를 탐지한 이후로 1달도 채 지나지 않아 새로운 변종을 발견하기도 했다.

이와 관련 카스퍼스키랩 측은 “이러한 APT 공격자의 가장 큰 목표는 탐지되지 않고 시스템에 남아 있는 것”이라며 “이러한 이유로 이번 악성코드에서는 고도의 코드 암호화는 거의 없어 주의를 끌 가능성이 높다”고 밝혔다.

이어 “Winnti 그룹은 기업이 모든 영역에서 최고 수준의 보안정책을 적용하는 것은 아니기 때문에 숨겨야 할 요소와 관리자들이 간과할 수 있는 부분이 무엇인지 그간의 경험으로 잘 알고 있다”며 “시스템 관리자가 처리해야 할 일은 너무 많은데다가, 대응팀이 소규모일 경우 사이버 범죄 활동이 탐지되지 않을 확률은 더욱 높아진다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)