Winnti APT41의 일본 기업 대상 RevivalStone 사이버 첩보 캠페인

Winnti APT41 Targets Japanese Firms in RevivalStone Cyber Espionage Campaign

 

• 개요
  • 중국과 연계된 APT 그룹 Winnti가 2024년 3월 일본의 제조, 소재, 에너지 분야 기업을 대상으로 RevivalStone이라는 새로운 사이버 첩보 캠페인을 수행
  • Trend Micro는 이를 Earth Freybug로 추적, Cybereason은 Operation CuckooBees로 명명, Symantec은 Blackfly로 분류
  • Winnti 그룹은 공급망 공격과 첩보 활동을 수행하는 고도로 숙련된 조직으로 보안 솔루션을 우회하고 장기적인 원격 접속을 유지하기 위한 맞춤형 도구를 사용
• 주요 공격 특징
  • Winnti 악성코드 및 루트킷 활용
    • 보안 소프트웨어 우회 및 은닉 기능을 갖춘 맞춤형 악성코드 사용
    • 정상적인 디지털 인증서를 도용하여 악성코드를 서명
  • 공급망 공격 전략
    • 공급업체 및 관리 서비스 제공업체(MSP)를 침해하여 다수의 조직으로 확산
  • 공격 대상
    • 2022년 이후 아시아 지역의 제조 및 소재 관련 기업 집중 타겟
    • 공개된 애플리케이션 취약점 악용 (예: IBM Lotus Domino)
• 사용된 악성코드 및 도구
  • DEATHLOTUS
    • CGI 기반 백도어로, 파일 생성 및 명령 실행 지원
  • UNAPIMON
    • C++ 기반 방어 회피 도구
  • PRIVATELOG & WINNKIT
    • Winnti RAT(DEPLOYLOG)를 설치하는 로더
    • 커널 수준의 루트킷을 설치하여 장기적인 은닉 유지
  • CUNNINGPIGEON
    • Microsoft Graph API를 사용하여 명령을 수신하는 백도어
  • WINDJAMMER
    • TCP/IP 네트워크 인터페이스를 가로채는 루트킷
    • 내부망 내 감염된 엔드포인트 간 은밀한 채널 생성
  • SHADOWGAZE
    • IIS 웹 서버의 포트를 재사용하는 수동 백도어
• 공격 기법 및 전개 과정
  • SQL 인젝션 취약점 활용
    • ERP 시스템 내 취약점을 악용하여 웹셸(China Chopper, Behinder) 설치
    • 이후 네트워크 정찰, 계정 탈취, 내부 이동(Lateral Movement) 수행
  • 공급망을 활용한 확산
    • 공유 계정을 이용해 관리 서비스 제공업체(MSP) 침해
    • MSP의 네트워크를 이용해 추가 3개 조직으로 공격 확산
• Winnti 악성코드의 진화
  • TreadStone 및 StoneV5 코드 발견
    • TreadStone은 Winnti 악성코드를 제어하는 컨트롤러 역할
    • StoneV5는 Winnti v5.0을 의미할 가능성 존재
  • 업데이트된 기능
    • 난독화 및 암호화 알고리즘 개선
    • 보안 탐지 회피 기능 강화
    • 지속적인 악성코드 업그레이드 가능성 높음
• 추가 위협 요소
  • Daggerfly(AKA Bronze Highland, Evasive Panda)와 연계된 SSHDInjector 악성코드 발견
    • Linux 기반 네트워크 장치를 공격하여 SSH 데몬을 하이재킹
    • 명령 실행, 파일 조작, 원격 접속 유지 등 악성 기능 보유
• 보안 권고
  • SQL 인젝션 등 웹 애플리케이션 취약점 패치 적용
  • 서명된 인증서 기반 악성코드 탐지를 위한 보안 로깅 강화
  • 네트워크 내 백도어 탐지를 위한 비정상 트래픽 모니터링
  • 공급망 보안 강화 및 MSP의 보안 정책 점검
  • Windows 및 Linux 환경의 루트킷 탐지 및 대응 솔루션 도입