China-linked APT group Winnti targets Japanese organizations
China-linked APT group Winnti targets Japanese organizations
China-linked threat actor Winnti targeted Japanese companies in the manufacturing, materials, and energy sectors in March 2024.
securityaffairs.com
- 공격 개요
- 중국 연계 APT 그룹 Winnti가 2024년 3월부터 일본 제조, 재료, 에너지 기업을 표적으로 한 RevivalStone 캠페인 수행
- Winnti 그룹은 2007년부터 활동한 것으로 추정되며, Kaspersky가 2013년에 최초 발견
- Winnti, Gref, PlayfullDragon, APT17, DeputyDog, Axiom, BARIUM, LEAD, PassCV, Wicked Panda, ShadowPad 등 여러 APT 그룹이 포함된 것으로 분석됨
- 공격 방법
- SQL 인젝션을 이용해 ERP 시스템 취약점을 공격하여 웹셸(WebShell) 배포
- 침입 후 정찰을 수행하고 Winnti 악성코드 설치
- 운영 및 유지보수 기업의 공유 계정을 탈취하여 측면 이동(lateral movement) 수행
- 주요 네트워크 제공업체를 침해하여 여러 기업에 영향을 미침
- 사용된 악성코드 및 회피 기법
- 웹셸(WebShell): "China chopper", "Behinder", "sqlmap file uploader" 활용
- Winnti 악성코드는 세션 환경(SessionEnv) 서비스를 통해 지속성 유지
- DLL 하이재킹(DLL Hijacking) 기법을 이용해 Winnti 로더(Winnti Loader) 실행 후 Winnti RAT 배포
- Winnti RAT는 루트킷(Rootkit) 기능을 포함하며 TCP/IP 통신을 가로채고 명령제어(C2) 서버로부터 추가 명령 수신 가능
- 코드 난독화 기법: 점프 기반 제어 흐름 평탄화(Control Flow Flattening), XOR 및 ChaCha20 암호화 기법 사용
- 정당한 DLL 파일을 System32 폴더에 복사 및 로드하여 탐지 회피
- 파일명을 랜덤하게 변경(e.g., "_syFig.dll", "_TcsTgyqmk.dll")하여 보안 솔루션의 탐지를 우회
- 추가 발견된 요소
- RevivalStone 캠페인에서 TreadStone 및 StoneV5 참조 발견
- TreadStone: Winnti 악성코드 컨트롤러, Linux 기반 악성코드 제어 패널과 연관
- StoneV5: Winnti 버전 5.0을 의미할 가능성
- 보안 권고
- 정보 자산 현황 점검 및 시스템 보안 구성 오류 확인
- 패치 관리 및 최신 보안 업데이트 적용을 통한 취약점 제거
- 불필요한 서비스 종료 및 원격 접근 제한
- EDR, 침입 탐지 시스템(IDS) 및 네트워크 모니터링 솔루션을 활용하여 이상 징후 탐지 강화
- 조직 내 운영 및 유지보수 계정 보호 강화, 다중 인증(MFA) 적용 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 전자상거래 결제 정보 탈취 악성코드, `<img>` 태그를 이용한 공격 (0) | 2025.02.27 |
|---|---|
| MITRE ATT&CK 프레임워크 강화 연구 및 발전 방향 (0) | 2025.02.27 |
| 금융보안원의 소프트웨어 취약점 신고 포상제 확대 (0) | 2025.02.27 |
| IT의 전략적 진화, 비용 부서에서 비즈니스 엔진으로 (0) | 2025.02.27 |
| 생성형 AI 오용에 따른 데이터 침해와 대응 전략 (0) | 2025.02.25 |