Offcanvas

보안

"윈티 그룹, 비디오 게임 개발업체를 타깃으로 공격" 이셋 발표

2020.06.02 편집부  |  CIO KR
윈티 그룹(Winnti Group)이 여러 MMORPG 게임 개발 업체를 공격하기 위해 사용하는 새로운 모듈식 백도어를 발견했다고 이셋코리아는 밝혔다.

이셋이 '파이프몬(PipeMon)'이라고 명명한 맬웨어는 한국과 대만의 기업을 공격대상으로 삼았다. 이 기업들이 개발한 게임은 전세계적으로 수천명의 동시 접속자가 있으며 주요 게임 플랫폼에서 이용된다. 

공격자는 기업의 빌드 오케스트레이션 서버를 손상시켜 공격 대상자의 자동화된 빌드 시스템을 제어할 수 있게 했고, 이를 통해 공격자가 비디오 게임 실행 파일을 트로이목마화할 수 있었다. 

또다른 경우 기업의 게임 서버를 손상시키고 이 공격을 통해 금전적 이익을 위해 게임 내 통화를 조작하는 것이 가능할 수 있다. 이셋은 영향을 받는 기업에 연락해 이 문제를 해결하는 데에 필요한 정보와 지원을 제공했다고 밝혔다. 

이셋 연구원인 마티유 타르타르는 “여러 지표로 인해 우리는 이 캠페인이 윈티 그룹에 의한 것으로 보고 있고, 파이프몬에서 사용하는 일부 명령 및 제어 도메인은 이전 캠페인에서 윈티 맬웨어에 의해 사용됐다”며, “또한 2020년에 파이프몬에 감염된 것으로 밝혀진 동일한 업체에서는 2019년에도 다른 윈티 멀웨어가 발견된 사례가 있다”고 언급했다.

새로운 모듈형 백도어 파이프몬은 이전 캠페인에서 도난당한 것으로 보이는 코드사인 인증서로 서명됐으며 포트리유즈(PortReuse) 백도어와 유사성을 공유한다. 

마티유 타르타르는 “이 새로운 백도어는 공격자가 여러 오픈소스 프로젝트를 사용해 새로운 도구를 적극적으로 개발하고 있으며 그들의 주요 백도어인 섀도우패드 및 윈티 맬웨어에만 의존하지 않는다는 것을 보여준다”고 덧붙였다. 

한편, 2012년부터 활동 중인 윈티 그룹은 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 담당해 더 많은 피해를 야기하기 위해 트로이 목마화된 소프트웨어를 배포한다. 최근 이셋 연구원들은 셰도우패드 및 윈티 악성 코드를 사용해 여러 홍콩 대학을 대상으로 하는 윈티 그룹의 활동을 발견했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.