“중국 연관 추정 해커 그룹 전세계 시스템 조용히 통제” 작성일 05-23 100 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">안랩·국가사이버안보센터<br>보고서 발표…“2000대 이상”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Yq1PXm7v57"> <figure class="figure_frm origin_fig" contents-hash="22c97772ac6654ffd4b204cc59dc6ac044c5072234139b5a792694be8cbe0399" dmcf-pid="GBtQZszTYu" dmcf-ptype="figure"> <p class="link_figure"><img alt="안랩-NCSC APT 그룹 TA-ShadowCricket 관련 합동 추적 보고서 [안랩 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/23/ned/20250523112513239mkyz.jpg" data-org-width="1280" dmcf-mid="WwAHa8sdYz" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/23/ned/20250523112513239mkyz.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 안랩-NCSC APT 그룹 TA-ShadowCricket 관련 합동 추적 보고서 [안랩 제공] </figcaption> </figure> <p contents-hash="dee5d5f86cc53a4957b7d2cf87b803ea5dc819b09164df3ed28099332bf41e65" dmcf-pid="HbFx5OqyGU" dmcf-ptype="general">중국과 연관된 것으로 추정되는 지능형 지속 공격(APT) 그룹 ‘TA-ShadowCricket(티에이 섀도크리켓)’이 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 드러났다.</p> <p contents-hash="9e4366e501496951ecf3a2d6efe88a6128ab0e77313352910dc55d52fcfe4942" dmcf-pid="XAdCMzNf5p" dmcf-ptype="general">안랩은 23일 국가사이버안보센터(NCSC)와 TA-ShadowCricket의 사이버 공격 활동을 공동으로 추적·분석한 APT 그룹 추적 보고서를 통해 이같이 밝혔다. 이번 보고서에는 안랩과 NCSC가 2023년부터 최근까지 TA-ShadowCricket의 활동을 공동으로 추적한 결과가 담겨 있다.</p> <p contents-hash="ee5969d135536032c165650f7e585934ee078c8ee616df115dddc5e1b5d8b8f7" dmcf-pid="ZcJhRqj410" dmcf-ptype="general">보고서에 따르면 TA-ShadowCricket은 2012년께부터 활동을 시작한 것으로 추정된다. 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다. 이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이다.</p> <p contents-hash="e01a275f994952acd43cae0636ca473b1bfbecb34c3f2dc2d9492bd9203bedad" dmcf-pid="5kileBA8t3" dmcf-ptype="general">추적 결과 TA-ShadowCricket은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투해, 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다.</p> <p contents-hash="2ccc8b706caf4bf943396e2513f20313ba4baf4f631c8fbb3f3234ccadf1aa54" dmcf-pid="1EnSdbc6YF" dmcf-ptype="general">RDP는 다른 컴퓨터에 원격으로 접속할 수 있도록 해주는 윈도우 기능이다. MS-SQL는 마이크로소프트에서 제공하는 데이터베이스 관리 시스템이다.</p> <p contents-hash="5c11c8ea19ede62006e00386182ec82869c60d722ee60da0a8c01be21acdf111" dmcf-pid="tDLvJKkPGt" dmcf-ptype="general">안랩과 NCSC는 전 세계 72개국 2000여 대의 피해 IP를 확인했다. IP 기준 국가별 분포는 ▷중국 895대 ▷한국 457대 ▷인도 98대 ▷베트남 94대 ▷대만 44대 ▷독일 38대 ▷인도네시아 37대 ▷태국 31대 ▷미국 25대 등 총 72개국 소재 장비를 대상으로 IRC 기반 봇넷을 구축한 정황이 확인됐다. 2020년 7월부터 올해 2월까지 RDP로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다.</p> <p contents-hash="b057d1ae37afbd66c755b852f45f92406af502b54f2d926f79ef8d6576398206" dmcf-pid="FwoTi9EQH1" dmcf-ptype="general">이와함께 TA-ShadowCricket 그룹이 시스템 침해 후 사용한 악성코드와 도구는 크게 3단계로 구별됐다.</p> <p contents-hash="f6ef515fb55e3d85e37ff35e29be1b03bb6c533ba64fe679e4c91bab05fcd7dc" dmcf-pid="3rgyn2DxY5" dmcf-ptype="general">1단계는 악성코드를 다운로드·설치하는 과정이며, 다운로더, 명령어 실행 툴들이 사용된다. 2단계는 주로 백도어 류를 설치하며, 3단계는 추가 악성행위를 위한 악성코드 설치로 나눌 수 있다고 분석했다.</p> <p contents-hash="ae916bba127b16cd15635158dd7ab52bc1ca3b5ab4e8a265a6244834940aedc6" dmcf-pid="0maWLVwMXZ" dmcf-ptype="general">이번 분석을 주도한 이명수 안랩 ASEC A-FIRST팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&C 서버(공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버)를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다. 이 밖에도 보고서에는 해커들이 사용한 악성 프로그램의 종류, 감염 방식, 피해 범위 등 구체적인 정보가 포함돼 있다. 합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널 ‘ASEC 블로그’에서 확인할 수 있다. 박세정 기자</p> </section> </div> <p class="" data-translation="true">Copyright © 헤럴드경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 젠슨 황 만난 이해진 ‘AI 총력전’ 05-23 다음 프로당구 PBA 팀리그 에스와이-웰컴저축銀 ‘전격 트레이드’…산체스-최원준 맞교환 05-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
