요약 : 보안 외신 블리핑컴퓨터에 의하면 중국의 해킹 단체인 윈티(Winnti)가 새로운 멀웨어를 사용하기 시작했다고 한다. 이름은 유나피몬(UNAPIMON)이라고 하는데, 공격자들은 이를 통해 악성 프로세스를 피해자의 시스템에서 실행시킬 수 있게 된다고 한다. 공격자들은 먼저 VM웨어 툴즈(VMware Tools)의 정상 프로세스인 vmtoolsd.exe에 악성 프로세스를 하나 주입한다. 이 악성 프로세스는 원격에서 지정된 작업을 실시하는데, 주로 배치 파일 하나를 실행시키는 것이다. 이 배치 파일은 시스템 정보 등 여러 데이터를 모아 공격자들에게 전송한다. 그런 후 두 번째 배치 파일이 DLL사이드로딩 기법을 통해 SessionEnv라는 프로세스 내에 심겨진다. 이 배치 파일은 메모리 내에 유나피몬을 로딩한다. 이 멀웨어를 통해 공격자들은 자녀 프로세스의 API 기능들을 조작할 수 있게 된다고 한다.

중국의 해킹 단체 윈티, 새로운 멀웨어 개발하여 등장

[이미지 = gettyimagesbank]

배경 : 윈티는 APT41이라고도 불리는 악명 높은 APT 단체다. 2012년부터 활동해 온 것으로 알려져 있다. 현존하는 APT 단체들 중 상위권에 속할 정도로 기술력이 좋다. 그 기술력을 바탕으로 자신들에게 필요한 멀웨어와 해킹 도구를 금방 개발해 활용한다. 새로운 전략도 자주 개발하는 편이다.

말말말 : “이번에 발견된 새 해킹 도구의 가장 특이한 점은 구성이 복잡하지 않으면서도 전에 없던 탐지 회피 기능과 악성 기능을 탑재하고 있다는 겁니다. 실력 좋은 개발자가 배후에 있다는 걸 알 수 있습니다.” -트렌드마이크로(Trend Micro)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>