이셋코리아가 윈티그룹(Winnti Group)이 여러 MMORPG 게임 개발 회사를 공격하기 위해 사용하는 새로운 모듈식 백도어를 발견했다고 2일 밝혔다.
이셋이 ‘PipeMon’이라고 명명한 멀웨어는 한국과 대만의 회사를 공격대상으로 삼았다. 이 회사들이 개발한 게임은 전세계적으로 수천명의 동시 접속자가 있으며 주요 게임 플랫폼에서 이용된다.
공격자는 회사의 빌드 오케스트레이션 서버를 손상시켜 공격 대상자의 자동화된 빌드 시스템을 제어할 수 있게 했고 이를 통해 공격자가 게임 실행 파일을 트로이목마화 할 수 있었다.
또 다른 경우 회사의 게임 서버를 손상시키고 이 공격을 통해 금전적 이익을 위해 게임 내 통화를 조작하는 것이 가능할 수 있다.
이셋은 영향을 받는 회사에 연락해 이 문제를 해결하는 데에 필요한 정보와 지원을 제공했다.
윈티그룹을 모니터링하는 이셋 연구원 마티유 타르타르(Mathieu Tartare)는 “여러 지표로 인해 우리는 이 캠페인이 윈티그룹에 의한 것으로 보고 있다. PipeMon에서 사용하는 일부 명령 및 제어 도메인은 이전 캠페인에서 윈티 멀웨어에 의해 사용됐다. 또 2020년에 PipeMon에 감염된 것으로 밝혀진 동일한 회사에서는 2019년에도 다른 윈티 멀웨어가 발견된 사례가 있다”고 전했다.
PipeMon은 연구원들이 블로그 포스트에서 조사한 다른 주목할 만한 것들과 유사점이 있다. 새로운 모듈형 백도어 PipeMon은 이전 캠페인에서 도난당한 것으로 보이는 코드사인 인증서로 서명됐으며 PortReuse 백도어와 유사성을 공유한다.
마티유 타르타르 “이 새로운 백도어는 공격자가 여러 오픈소스 프로젝트를 사용해 새로운 도구를 적극적으로 개발하고 있으며 그들의 주요 백도어인 ShadowPad 및 윈티 멀웨어에만 의존하지 않는다는 것을 보여준다”고 말했다.
한편 이셋은 PipeMon의 2가지 변종을 추적할 수 있었다고 밝혔다. [파이낸셜신문=이광재 기자 ]
