게임 개발자 서버에 침투한 모듈형 백도어 PipeMon

New PipeMon malware uses Windows print processors for persistence

비디오 게임 회사들이 Winnti 또다시 해킹 그룹의 공격을 받고 있습니다. 이들은 PipeMon이라는 악성코드를 사용하고 지속성을 달성하기 위한 새로운 방법을 사용합니다.

PipeMon은 모듈형 백도어로 올해 초 MMO 게임 개발사 다수의 서버에서 발견되었습니다.

과거 활동

Winnti 그룹의 활동은 2011년부터 탐지되기 시작했습니다. 피해자 대부분은 비디오게임 및 소프트웨어 업계였으나 일부 의료 및 교육 부문을 노렸습니다.

이 공격자들은 공급망 공격으로 잘 알려져 있습니다. 사용자 수백만이 넘는 소프트웨어와 (Asus LiveUpdate, CCleaner) 금융 부문에 (NetSarang) 트로이목마 공격을 실행한 바 있습니다.

ESET의 연구원들은 지난 2월 Winnti와 관련된 새로운 백도어를 발견했습니다. 이 악성코드 변종 2개는 한국과 대만의 MMO 게임 개발사 다수의 서버에서 발견되었습니다.

연구원들은 공격자가 피해자의 빌드 시스템을 해킹할 수 있었던 한 사례를 알고 있다고 밝혔습니다. 

이들이 침투에 성공했을 경우, Winnti는 비디오 게임 실행파일 내부에 악성코드를 심어 두었을 수 있었습니다.

“다른 사례에서는 게임 서버가 해킹되어 공격자가 금전 이익을 위해 게임 내 통화를 조작할 수 있었습니다.”

ESET은 금일 발표한 보고서에서 이러한 공격에서 발견된 증거를 수집한 결과 Winnti의 소행으로 보인다고 밝혔습니다. 

PipeMon은 새로운 백도어지만, 2018년 동일 그룹이 공격했던 비디오 게임 회사의 인증서를 이용해 서명되었습니다.

<이미지 출처: https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/>

이뿐만이 아닙니다. 해커는 다른 캠페인에서 발견된 일부 C2 도메인과 다른 Winnti 피해자들에게서 발견된 커스텀 로그인 스틸러를 재사용했습니다.

시스템에 활성화된 채 남아있어

PipeMon의 변종이 2개 발견되었지만, 연구원들은 단 하나의 변종에 대한 설치 방식 및 지속성 획득 방법만을 알아낼 수 있었습니다.

PipeMon의 첫 단계는 런쳐의 .rsrc 섹션에 내장되어 있으며 패스워드로 보호된 RARSFX 실행파일로 구성됩니다.

Winnti는 이 악성코드가 시스템에 활성화된 상태로 상주할 수 있도록 하기 위해 스풀된 데이터를 프린트 모니터에서 확인할 수 있는 포맷으로 변환하는 윈도우 프린트 프로세서(DLL)를 이용했습니다.

프린트 프로세서가 존재하는 위치에 악성 DLL 로더가 드롭되고, 대체 프린트 프로세서로 등록됩니다. 이는 두 레지스트리 값 중 하나를 수정하는 방식으로 이루어집니다.

HKLM\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Print Processors\PrintFiiterPipelineSvc\Driver = “DEment.dll”

 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\lltdsvc1\Driver = “EntAppsvc.dll”

다음으로 프린트 스풀러 서비스를 다시 시작해 악성 프로세스를 로드합니다. 이 서비스는 컴퓨터가 부팅할 때마다 시작되기 때문에 지속성이 유지될 수 있습니다.

ESET은 DePriMon 다운로더에서 유사한 기술을 발견했으나, PipeMon의 방식은 아직까지 문서화된 적이 없다고 밝혔습니다.

연구원들은 PipeMon이 모듈러 백도어로 각 컴포넌트가 DLL 역할을 하며 서로 다른 기능을 가지고 있다고 밝혔습니다.

이들은 디스크에 암호화되어 있으며 무해하게 보이는 이름으로 숨겨져 있습니다. 커스텀 명령을 통해 원할 경우 다른 모듈을 로드할 수도 있습니다.

• banner.bmp

• certificate.cert

• License.hwp

• JSONDIU7c9djE

• D8JNCKS0DJE

• B0SDFUWEkNCj.logN

ESET은 PipeMon의 업데이트된 변종과 동일한 코드 구조를 발견했음에도, 이 악성코드가 다른 코드를 기반으로 하지 않고 처음부터 작성된 것으로 추측했습니다.

Winnti는 지난 10년 동안 다양한 악성 툴을 개발하고 다양한 타깃을 공격했습니다. 이들의 최근 활동에서는 여전히 게임회사를 노리고 공급망 공격을 선호하는 것을 알 수 있었습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Misc.HackTool.Htran, Misc.Riskware.RemoteAdmin, Misc.HackTool.WinEggDrop'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-pipemon-malware-uses-windows-print-processors-for-persistence/

https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/

https://www.scmagazine.com/home/security-news/gaming/modular-backdoor-sneaked-into-video-game-developers-servers/