안랩-NCSC, APT 조직 ‘티에이 섀도우크리켓’ 추적 보고서 발표

[아이티데일리] 안랩(대표 강석균)은 자사 AESC(AhnLab SEcurity intelligence Center)와 국가사이버안보센터(NCSC)가 중국과 연관된 것으로 추정되는 지능형 지속 공격(APT) 그룹 ‘티에이 섀도우크리켓(TA-ShadowCricket)’의 활동을 추적·분석한 보고서를 23일 발표했다.

티에이 섀도우크리켓은 2012년경부터 활동을 시작했으리라 추정되며, 중국 연관성이 의심되나 국가 지원 여부는 불확실한 공격 집단이다. 이들은 관련 정보가 거의 없어 보안 업계로부터 상대적으로 주목받지 않았던 조직이다.

이번 보고서에는 안랩과 NCSC가 2023년부터 최근까지 티에이 섀도우크리켓의 활동을 공동 추적한 결과가 담겼다.

보고서에 따르면 티에이 섀도우크리켓은 외부 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투, 전 세계 2천 대 이상의 감염된 시스템을 조용히 통제해 왔다. 이 밖에도 보고서에는 해커들이 사용한 악성 프로그램의 종류, 감염 방식, 피해 범위 등 구체적 정보가 포함됐다.

이번 분석을 주도한 안랩 ASEC 에이-퍼스트(A-FIRST)팀 이명수 팀장은 “티에이 섀도우크리켓은 수천 개의 피해 시스템과 명령제어(C&C) 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “장기간 통제된 감염 시스템은 공격자 의도에 따라 언제든 공격에 활용될 수 있는 만큼 악성코드 제거, C&C 서버 무력화 등 선제적 대응이 중요하다”고 설명했다.

합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널 ‘ASEC 블로그’에서 확인할 수 있다.