2023년부터 최근까지 APT 그룹 ‘TA-ShadowCricket’의 활동 공동 추적
안랩(대표 강석균) ASEC(AhnLab SEcurity intelligence Center)과 국가사이버안보센터(NCSC)가 중국과 연관된 것으로 추정되는 APT 그룹 ‘TA-ShadowCricket(티에이 섀도우크리켓, 별칭-Shadow Force)’의 최근 사이버 공격 활동을 공동으로 추적·분석한 APT 그룹 추적 보고서를 발표했다.
‘TA-ShadowCricket’은 2012년 경부터 활동을 시작한 것으로 추정되며, 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다. 이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이다.
이번 보고서에는 안랩과 NCSC가 2023년부터 최근까지 ‘TA-ShadowCricket’의 활동을 공동으로 추적한 결과가 담겨 있다.
이번 분석에서 ‘TA-ShadowCricket’은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투해, 전 세계 2천 대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다.
‘TA-ShadowCricket’은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔히 나타나는 행위 없이, 침투 후 오랜 기간 들키지 않은 채 시스템을 조용히 장악한 상태를 유지하는 방식으로 활동해 온 것이 특징이다.
이 공격 그룹은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 대상으로, 포트 정보를 탐색한 뒤 비밀번호를 무작위로 시도하는 방식(Brute-force, 브루트포스 공격)으로 침투한다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 백도어(backdoor) 악성코드를 설치하고, 이를 정상 실행파일(EXE 파일) 내부에 몰래 삽입해 사용자가 의심 없이 실행하도록 만든다.
백도어 악성코드는 공격자의 C&C 서버와 연결돼 있으며, 공격자가 직접 다시 접속하지 않아도 감염된 시스템에서 명령 자동 수행, 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하다.
안랩과 NCSC가 ‘TA-ShadowCricket’이 실제로 운영하던 C&C 서버를 확보해 추적한 결과 ‘TA-ShadowCricket’의 C&C서버에는 2천 개 이상의 피해 시스템이 연결돼 있었으며, 이 중에는 실제로 운영 중인 중요한 시스템도 포함돼 있었다. 공격자는 이 시스템들을 자신이 만든 봇넷(botnet, 감염된 컴퓨터 네트워크)의 일부로 삼아, 필요 시 언제든지 분산 서비스 거부(DDoS) 공격이나 추가 침해에 활용할 수 있는 상태로 유지하고 있는 것으로 나타났다.
이번 분석을 주도한 안랩 ASEC A-FIRST팀 이명수 팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&C 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[엔피코어 보안칼럼] 각국 인프라 기관 노리는 사이버 전쟁의 중심에 선 중국, 그리고 북한·러시아·이란](https://www.dailysecu.com/news/photo/202505/166367_194969_1758.jpg)
