Home > 전체기사
중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격
  |  입력 : 2020-04-22 00:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마도 여러 APT 단체의 연합인 윈티그룹, 다양한 공격 기술 발휘 가능해
드로퍼 샘플 분석했더니 최근 한국의 게임사 그래비티 공격했다는 흔적 나와


[보안뉴스 문가용 기자] 중국의 APT 공격 단체인 윈티그룹(Winnti Group)이 한국의 비디오 게임 회사인 그래비티(Gravity)를 공격했다고 보안 업체 블랙베리(BlackBerry)가 발표했다. 윈티 그룹은 2009년부터 액시엄(Axiom), 바륨(Barium), 블랙플라이(Blackfly) 등의 조직들과 한 목적으로 활동해 왔으며, 주로 항공, 게임, 제약, 기술, 통신, 소프트웨어 산업을 노려왔다.

[이미지 = iclickart]


윈티그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵2.0(skip-2.0), 셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격했다. 블랙베리는 최근 보고서를 통해 “윈티그룹, 브론즈 유니온(Bronze Union), 캐스퍼(Casper) 등 중국의 5개 공격 단체가 지난 십년 동안 리눅스 서버를 공격해왔다”고 공개한 바 있다.

이런 가운데 첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 “윈티 해커들이 한국의 게임 업체인 그래비티를 표적 공격하고 있다”는 내용의 보고서를 발표했다. 그래비티는 대규모 다중 사용자 온라인 롤 플레잉 게임(MMORPG)인 라그나로크 온라인의 개발사로 유명한 곳이다.

쿼인텔리전스 측은 보고서를 통해 “윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 됐다”며 “이 샘플을 분석해 공격의 표적을 알 수 있었다”고 발표했다. 또한 “멀웨어의 환경설정 파일을 추출할 수 있었고, 이를 통해 이들의 표적이 한국의 게임 회사인 그래비티라는 것을 분명히 파악할 수 있었다”고 설명했다.

윈티그룹은 이전부터 한국을 공격해온 것으로 알려져 있다. 이전 윈티그룹에 대한 보고서에서는 GRA KR 0629라는 이름의 캠페인 식별자가 언급되기도 했었는데, 여기서 KR이 한국을 뜻한다고 보는 게 중론이다. 심지어 이 캠페인이 현재의 그래비티 공격과 관련이 있다고 보는 견해도 있다. 물론 이에 대한 증거는 나오지 않은 상태다.

또한 쿼인텔리전스는 올해 초 윈티그룹이 독일의 한 화학회사를 겨냥해 공격했다고 고발하기도 했다. 이 때 사용된 멀웨어 샘플은 2015년에 만들어진 것으로 보인다. 이 멀웨어 역시 이번 그래비티 공격에 발견된 멀웨어처럼 표적의 이름이 코드 내에 임베드 되어 있었다. 당시 윈티는 드라이버 확인 절차를 우회하기 위한 바이너리, 취약한 버추얼박스(VirtualBox) 드라이버, 루트킷 드라이버 등을 고루 활용했었다. 또한 DNS 터널링을 통해 C&C와 통신했다.

쿼인텔리전스는 “윈티그룹은 그 동안 다양한 조직을, 아주 다양한 고급 기술을 활용해 공략할 줄 안다는 것을 수차례 입증해왔다”고 보고서에 썼다. 또한 “정찰 공격과 금전적인 목적을 달성하기 위한 공격을 모두 수행하고, 여러 가지 전략과 멀웨어를 사용한다”고도 경고했다.

이 때문에 일각에서는 윈티그룹이 여러 중국 APT 조직이 뭉친 거대 조직이라고 보기도 한다. 빡빡한 규율 아래 운영되는 건 아니지만 어느 정도 정보 교류와 공격 도구의 공유가 이 안에서 이뤄지고 있다고 보고 있는 것이다. 쿼인텔리전스도 보고서 결론 부분에 이를 언급하며 “윈티그룹 내 여러 조직이 협력 체제를 이뤄놓고 있을 가능성이 있다”고 말했다.

쿼인텔리전스의 보고서 원문은 여기(https://quointelligence.eu/2020/04/winnti-group-insights-from-the-past/)서 열람이 가능하다.

3줄 요약
1. 중국의 윈티그룹, 한국의 게임사 그래비티 공격.
2. 공격에 사용된 것으로 보이는 멀웨어 샘플 분석하니 그래비티라는 이름이 등장.
3. 윈티그룹, 워낙 변화무쌍해 여러 단체가 뭉친 거대 조직이라는 짐작도 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)