중국의 'Winnti' 해킹 그룹이 이전에는 알려지지 않았던 'UNAPIMON'이라는 맬웨어를 사용하여 악성 프로세스를 감지되지 않게 실행하는 것이 확인되었습니다. Winnti 그룹은 2012년부터 활동하고 있는 가장 오래된 그룹 중 하나로, 중국 정부가 후원하는 것으로 추정되는 국가 후원 사이버 스파이 그룹입니다. 이들은 이전에 정부, 하드웨어 제조업체, 소프트웨어 개발자, 싱크탱크, 통신 서비스 제공업체, 교육 기관 등 다양한 조직을 대상으로 공격했습니다.
Trend Micro의 새로운 보고서에 따르면, 이들은 'Earth Freybug'라는 클러스터로 식별된 사이버 스파이 공격을 통해 이전에는 보지 못했던 맞춤형 맬웨어를 사용하고 있습니다. UNAPIMON 공격은 VMware Tools의 합법적인 프로세스에 악성 프로세스를 주입하는 것으로 시작되며, 이는 시스템 정보를 수집하는 배치 파일을 실행하는 원격 예약 작업을 수행합니다. 그 다음, 두 번째 배치 파일이 DLL 사이드로딩을 이용하여 UNAPIMON을 메모리에 로드하고, 이를 cmd.exe 프로세스에 주입합니다.
UNAPIMON은 C++ 맬웨어로, Microsoft Detours를 이용하여 CreateProcessW API 함수를 후킹하고, 이를 통해 악성 자식 프로세스에서 중요한 API 함수를 언후킹하여 감지를 피합니다. Trend Micro는 UNAPIMON의 회피 메커니즘이 독특하고 창의적이라고 분석했으며, 이는 맬웨어 작성자의 코딩 능력과 창의성을 보여준다고 말했습니.
요약
- 중국의 'Winnti' 해킹 그룹이 이전에 알려지지 않았던 'UNAPIMON'이라는 맬웨어를 사용하여 악성 프로세스를 감지되지 않게 실행하는 것이 확인되었다.
- 이들은 'Earth Freybug'라는 클러스터로 식별된 사이버 스파이 공격을 통해 이전에는 보지 못했던 맞춤형 맬웨어를 사용하고 있다.
- UNAPIMON은 C++ 맬웨어로, Microsoft Detours를 이용하여 CreateProcessW API 함수를 후킹하고, 이를 통해 악성 자식 프로세스에서 중요한 API 함수를 언후킹하여 감지를 피한다.
- Trend Micro는 UNAPIMON의 회피 메커니즘이 독특하고 창의적이라고 분석했다.
- Winnti 해킹 그룹은 이전에도 창의적인 방법으로 감지를 피하는 것으로 알려져 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.