[아이뉴스24 최은정 기자] 이셋코리아는 윈티(Winnti) 해킹그룹이 개발한 것으로 보이는 새로운 백도어 샘플 '스킵 2.0(skip-2.0)'을 발견했다고 29일 발표했다.
윈티는 중국 정부의 지원을 받고 있는 것으로 추정되는 해킹그룹으로, 지난 2012년부터 활동해 왔다. 그동안 비디오 게임·소프트웨어(SW) 개발 산업에 대한 주요 공급망 공격을 감행해왔다.
이번에 발견된 멀웨어는 마이크로소프트(MS) SQL 서버 11과 12를 대상으로 공격한다. 공격자는 특수한 비밀번호를 사용해 어떤 MS SQL 계정에도 연결할 수 있다. 연결 기록은 로그에서 자동으로 숨겨지기 때문에 사용자가 탐지하기 어렵다는 특징이 있다.
스킵 2.0을 통해 공격자는 데이터베이스(DB) 내용을 몰래 복사·수정·삭제할 수 있다. 이는 게임머니 혹은 특정 커뮤니티에서 유통되는 화폐의 가치를 조작하는 데 사용된다. 공격자가 금전적인 이득을 취할 수 있는 방법이다.
마티유 타르타르 이셋 연구원은 "이 백도어를 이용하면 공격자는 특수 암호를 사용해 피해자의 MS SQL 서버에서 오래 머물 수 있고, 비활성화 된 여러 로그·이벤트 게시 메커니즘 덕분에 탐지되기 힘들다"며 "테스트 결과, 가장 일반적으로 사용되는 MS SQL 서버 11과 12에서만 특수암호로 로그인할 수 있는 것이 확인됐다"고 설명했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기