【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“中연관 해커그룹, 韓 400대 시스템 통제”

온카뱅크관리자

2025-05-27 11:37:31

<div id="layerTranslateNotice" style="display:none;"></div> 안랩·국가사이버안보센터 공동보고서 발표 APT그룹 ‘티에이 섀도우크리켓’ 활동 분석 10년이상 72國 2000대 시스템 조용히 통제 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="807NggTNFN">
 <figure class="figure_frm origin_fig" contents-hash="f862bb9f8f5021a0007727ec82b6eefb00bf93c57b01d7d614e749ed3da7b0a7" dmcf-pid="6pzjaayjpa" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/27/ned/20250527112708008gmvw.jpg" data-org-width="724" dmcf-mid="4fEp33xpzj" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/27/ned/20250527112708008gmvw.jpg" width="658">
 </figure>
 중국과 연관된 것으로 추정되는 해커 그룹이 10년 이상 전 세계 2000대의 감염된 시스템을 조용히 통제해오고 있던 것으로 드러나 충격을 주고 있다. 이 중 국내 감염 시스템도 400여대에 달하는 것으로 나타났다.
 안랩과 국가사이버안보센터(NCSC)는 중국과 연관된 것으로 추정되는 APT(지능형 지속 공격) 그룹 ‘TA-ShadowCricket(섀도 크리켓)’의 사이버 공격 활동을 공동 추적·분석한 결과 이같이 확인됐다고 27일 밝혔다.
 이번 결과를 담은 보고서에는 안랩과 NCSC가 2023년부터 최근까지 TA-ShadowCricket의 활동을 공동으로 추적한 내용이 담겨 있다.
 보고서에 따르면 TA-ShadowCricket은 2012년께부터 활동을 시작한 것으로 추정된다. 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다. 이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이다.
 추적 결과 TA-ShadowCricket은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투해, 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다.
 RDP는 다른 컴퓨터에 원격으로 접속할 수 있도록 해주는 윈도우 기능이다. MS-SQL는 마이크로소프트에서 제공하는 데이터베이스 관리 시스템이다.
 안랩과 NCSC는 전 세계 72개국 2000여 대의 피해 IP를 확인했다. 한국 457대가 확인됐다. 한국 외에 IP 기준 국가별 분포는 중국 895대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등 총 72개국이다. 이들 국가의 소재 장비를 대상으로 IRC 기반 봇넷을 구축한 정황이 확인됐다.
 2020년 7월부터 올해 2월까지 RDP로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다.
 이와함께 TA-ShadowCricket 그룹이 시스템 침해 후 사용한 악성코드와 도구는 크게 3단계로 구별됐다.
 1단계는 악성코드를 다운로드 및 설치하는 과정이며, 다운로더, 명령어 실행 툴들이 사용된다. 2단계는 주로 백도어(Backdoor) 류를 설치하며, 3단계는 추가 악성행위를 위한 악성코드 설치로 나눌 수 있다고 분석했다.
 이번 분석을 주도한 이명수 안랩 ASEC A-FIRST팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&amp;C 서버(공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버)를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&amp;C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.
 이 밖에도 보고서에는 해커들이 사용한 악성 프로그램의 종류, 감염 방식, 피해 범위 등 구체적인 정보가 포함됐다. 박세정 기자
 </section> 
 </div> 
 Copyright © 헤럴드경제. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기