[보안뉴스]10년 묵은 악성코드, 혹시 우리도?...안랩-NCSC, APT 추적보고서 발표

뉴스 요약

중국 연계 의심 APT 그룹인 'TA459(ShadowCricket)'의 13년간의 활동 전모가 밝혀졌습니다. 전 세계 2,000여 대의 서버에 침투하여 시스템 장악만을 목적으로 활동했으며, 금전 요구나 데이터 유출 등의 행위는 발견되지 않았습니다. 안랩과 국가사이버안보센터의 공동 분석 결과, ShadowCricket은 주로 VPN 취약점과 공급망 공격을 활용했으며, 탈취한 계정정보를 이용해 지속적인 시스템 접근 권한을 유지하는 것으로 드러났습니다.

핵심 포인트

• TA459 (ShadowCricket)은 13년간 2,000여대 서버 침투, 시스템 장악에 집중. 금전적 이득이나 데이터 유출 목적 X.
• VPN 취약점, 공급망 공격 활용.
• 탈취한 계정정보로 지속적인 시스템 접근 권한 유지.
• 중국 연계 의심.

기술 세부 내용

1️⃣ VPN 취약점 공격

• VPN(Virtual Private Network)의 알려진 취약점을 악용하여 시스템에 침투합니다.
• 특히, 패치되지 않은 VPN 게이트웨이 서버를 주요 타겟으로 삼습니다.
• VPN 취약점을 통해 초기 침투에 성공하면, 내부 네트워크로의 접근 권한을 확보하고 추가적인 공격을 수행할 수 있습니다. ➡️

2️⃣ 공급망 공격 (Supply Chain Attack)

• 소프트웨어 또는 하드웨어 공급망의 취약점을 이용하는 공격입니다.
• ShadowCricket은 타겟 조직이 사용하는 소프트웨어나 서비스의 취약점을 파악하고, 이를 통해 악성코드를 삽입하거나 시스템에 침투합니다.
• 공급망 공격은 광범위한 피해를 야기할 수 있으며, 탐지가 어려워 매우 위협적입니다. ⚠️

3️⃣ 계정정보 탈취 및 지속적 접근 권한 유지

• ShadowCricket은 침투한 시스템에서 계정정보(ID, Password)를 탈취하여 지속적인 접근 권한을 유지합니다.
• 탈취한 계정정보를 활용하여 시스템에 재접속하거나, 다른 시스템으로의 접근을 시도합니다.
• 장기간에 걸쳐 시스템을 제어하며 정보 수집 및 추가 공격을 위한 발판으로 삼을 수 있습니다. foothold

4️⃣ APT(Advanced Persistent Threat) 공격의 특징

• ShadowCricket은 APT 공격의 전형적인 특징을 보입니다. ️‍♂️
• 지능적인 공격 기법과 끈질긴 활동으로 특정 목표를 달성하는 것을 목표로 합니다.
• 장기간에 걸쳐 은밀하게 활동하며, 탐지가 어렵습니다. stealth
• 주로 정부기관, 기업 등 중요 정보를 보유한 조직을 공격 대상으로 삼습니다.

5️⃣ TA459 (ShadowCricket)의 활동 목적

• 뉴스 본문에서는 ShadowCricket의 활동 목적이 금전적 이득이나 데이터 유출이 아니라고 명시하고 있습니다.
• 단순 시스템 장악을 넘어, 정보 수집이나 향후 공격을 위한 정찰 활동을 위한 것으로 추정됩니다.
• 중국 연계 의심 APT 그룹이라는 점에서 국가 차원의 사이버 공격 가능성도 배제할 수 없습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137363&kind=&sub_kind=