안랩 “중국 연관 추정 해커 그룹, 전 세계 2000대 이상 시스템 조용히 통제해와” 작성일 05-23 102 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">안랩·국가사이버안보센터, 공격 활동 추적·분석 보고서 발표</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="VDRyGRSg19"> <figure class="figure_frm origin_fig" contents-hash="663bf43c6afdf3331d0621963b1c8bbfc0a70bee73f2d13c7f60994af3a46075" dmcf-pid="fweWHeva1K" dmcf-ptype="figure"> <p class="link_figure"><img alt="안랩-NCSC APT 그룹 TA-ShadowCricket 관련 합동 추적 보고서 [안랩 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/23/ned/20250523094817295wkzg.jpg" data-org-width="1280" dmcf-mid="2IrqKruS52" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/23/ned/20250523094817295wkzg.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 안랩-NCSC APT 그룹 TA-ShadowCricket 관련 합동 추적 보고서 [안랩 제공] </figcaption> </figure> <p contents-hash="e29bd867888407bdf8e0f974dc6c6b89ecdaa11e2be20a40f533fde44eb7e843" dmcf-pid="4rdYXdTNZb" dmcf-ptype="general">[헤럴드경제=박세정 기자] 중국과 연관된 것으로 추정되는 지능형 지속 공격(APT) 그룹 ‘TA-ShadowCricket(티에이 섀도우크리켓)’이 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 드러났다.</p> <p contents-hash="df4db02fc959e7b27a5c02fcb07abfa901a29b59f1802631b77cc9f2d7e44e8c" dmcf-pid="8mJGZJyjXB" dmcf-ptype="general">23일 안랩은 국가사이버안보센터(NCSC)와 ‘TA-ShadowCricket’의 사이버 공격 활동을 공동으로 추적·분석한 APT 그룹 추적 보고서를 통해 이같이 밝혔다.</p> <p contents-hash="eb8c2f3cf3f405f5b2eb6421d34bbd121f40d1d3e040168cee9d1c3f49ae5769" dmcf-pid="6siH5iWA1q" dmcf-ptype="general">이번 보고서에는 안랩과 NCSC가 2023년부터 최근까지 ‘TA-ShadowCricket’의 활동을 공동으로 추적한 결과가 담겨 있다.</p> <p contents-hash="0dc907b65d6174c3a826019c091ce1fc561ab09afce1610dcbe92a0a08632b6e" dmcf-pid="POnX1nYc5z" dmcf-ptype="general">보고서에 따르면 ‘TA-ShadowCricket’은 2012년 경부터 활동을 시작한 것으로 추정된다. 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다. 이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이다.</p> <p contents-hash="0b702b94a86fb00d041ec594e9cbe40f52471f58004c5386a6fd9a77bd3d6dfd" dmcf-pid="QILZtLGkZ7" dmcf-ptype="general">추적 결과 ‘TA-ShadowCricket’은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투해, 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다.</p> <p contents-hash="9fb502609b04f51221c1e3d6b3a0bfd5c63272c19aa0865a9a329de4409c068b" dmcf-pid="xCo5FoHEtu" dmcf-ptype="general">RDP는 다른 컴퓨터에 원격으로 접속할 수 있도록 해주는 윈도우 기능이다. MS-SQL는 마이크로소프트에서 제공하는 데이터베이스 관리 시스템이다.</p> <p contents-hash="0f83bab1fb7d9ea83db75d224ebc874e77a331af0392126488f59b9cdfa00564" dmcf-pid="yftngtdzYU" dmcf-ptype="general">안랩과 NCSC는 전 세계 72개국 2000여 대의 피해 IP를 확인했다. IP 기준 국가별 분포는 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등 총 72개국 소재 장비를 대상으로 IRC 기반 봇넷을 구축한 정황이 확인됐다.</p> <p contents-hash="3d87c95e94ced4219bd04e04126352fb9f59cf5b9cfe46c91123d94022249893" dmcf-pid="W4FLaFJq5p" dmcf-ptype="general">2020년 7월부터 2025년 2월까지 RDP로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다.</p> <p contents-hash="7627829ed586c85303c7c6884a72a95e3f7ed162a6152e2c3e87a8b544bf7537" dmcf-pid="Y5sb2szTG0" dmcf-ptype="general">이와함께 TA-ShadowCricket 그룹이 시스템 침해 후 사용한 악성코드와 도구는 크게 3단계로 구별됐다.</p> <p contents-hash="6e3c775d3d328bf802dd538506e2ba4f94c4b4e68a305785e370f67a817644c1" dmcf-pid="G1OKVOqyZ3" dmcf-ptype="general">1단계는 악성코드를 다운로드 및 설치하는 과정이며, 다운로더, 명령어 실행 툴들이 사용된다. 2단계는 주로 백도어(Backdoor) 류를 설치하며, 3단계는 추가 악성행위를 위한 악성코드 설치로 나눌 수 있다고 분석했다.</p> <p contents-hash="0c46955022bea0676c061b50225082efcdc1eb6ba0254b7795ed739b0216fc21" dmcf-pid="HtI9fIBWZF" dmcf-ptype="general">이번 분석을 주도한 이명수 안랩 ASEC A-FIRST팀 팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&C 서버(공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버)를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.</p> <p contents-hash="4ba3d70db763f4dc2a58fd4cc192bfc6d6750349120829dd47a5ed4ca0552087" dmcf-pid="XFC24CbYHt" dmcf-ptype="general">이 밖에도 보고서에는 해커들이 사용한 악성 프로그램의 종류, 감염 방식, 피해 범위 등 구체적인 정보가 포함돼 있다. 합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널 ‘ASEC 블로그’에서 확인할 수 있다.</p> </section> </div> <p class="" data-translation="true">Copyright © 헤럴드경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 '놀면 뭐하니?', 박진주·이미주 하차…4인 체제로 전환 05-23 다음 앤스로픽도 코딩 에이전트 경쟁 참전…AI 일자리 대체 더 빨라질까 [송영찬의 실밸포커스] 05-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
