ESET(이셋)의 국내 법인 이셋코리아가 이셋 연구소에서 ‘skip-2.0’이라는 새로운 백도어의 샘플을 발견했다고 29일 밝혔다.
이셋에 따르면 Skip-2.0 백도어는 최근 악명 높은 사이버 스파이 그룹 ‘Winnti’의 사이버 공격 무기고에 추가된 것으로 알려졌다. 특히 skip-2.0은 MS SQL 서버11 및 12를 대상으로 하며 공격자는 매직 패스워드를 사용해 MS SQL 계정에 연결할 수 있다. 이러한 연결은 로그에서 자동으로 숨겨진다.
이러한 백도어를 통해 공격자는 데이터베이스 내용을 몰래 복사, 수정 또는 삭제할 수 있다. 예를 들어 이것은 게임 내 통화를 조작해 금융 이익을 얻기 위해 사용될 수 있다. Winnti 운영자들은 과거에도 게임 내 통화 데이터베이스를 악의적으로 조작한 것으로 알려져 있다.
Winnti 그룹을 조사하는 이셋 연구원 매듀 타르타레(Mathieu Tartare)는 “이 백도어를 이용하면 공격자는 특수 암호를 사용해 피해자의 MS SQL 서버에서 지속성을 확보할 수 있을 뿐만 아니라 해당 암호를 사용할 때 비활성화된 여러 로그 및 이벤트 게시 메커니즘 덕분에 탐지되지 않은 상태를 유지할 수 있다”며 “여러 MS SQL 서버 버전에 대해 skip-2.0을 테스트한 결과 MS SQL 서버 11 및 12에서만 특수 암호를 사용해 성공적으로 로그인할 수 있음을 발견했다. MS SQL 서버 11 및 12는 최신 버전이 아니지만 가장 일반적인 버전”이라고 말했다.
이셋은 skip-2.0과 Winnti그룹이 보유한 알려진 다른 악성 툴들 사이에 여러 유사점을 발견했다. 이러한 예로는 동일한 후킹 절차를 사용하는 VMProtected 런처, 커스텀 패커 및 Inner-Loader 인젝터 등이 있다.
타르타레는 “이로 인해 skip-2.0도 해당 툴셋의 일부 라고 생각하게 됐다”고 언급했다.
이셋 연구원들은 한동안 Winnti그룹의 활동을 추적해 왔다. 이 그룹은 2012년부터 활동해 왔으며 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 감행해 왔다.
이셋은 최근 Winnti그룹의 무기고에 대한 이해를 업데이트하고 이전에 문서화되지 않은 PortReuse 백도어를 공개하는 백서를 발표했다. [파이낸셜신문=이광재 기자 ]
