중국 연계 의심 온라인 슬롯 그룹 ‘티에이 섀도우크리켓’ 추적 결과 발표
전 세계 시스템 침투해 통제권만 획득한 것이 특징
[보안뉴스 조재호 기자] 지난 13여년간 활동해온 온라인 슬롯 그룹 전모가 드러났다. ‘티에이 섀도우크리켓’은 전 세계 2000여대 서버에 침투해 금전 요구나 데이터 유출 등의 행동 없이 시스템 장악만 진행한 것이 특징이다.
온라인 슬롯과 국가사이버안보센터(NCSC)는 23일 이같은 내용을 골자로 한 ‘APT 그룹 추적보고서’를 발표했다.
이에 따르면 ‘티에이 섀도우크리켓’(TA-ShadowCricket)은 지난 2012년경 활동을 시작한 것으로 추정된다. 중국 연계가 의심되는 온라인 슬롯 그룹으로 관련 정보가 거의 없어 보안 업계에서도 주목받지 않았던 조직이다.
이 조직은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔한 온라인 슬롯 행위 없이 조용히 시스템만 장악했다. 다만, 언제든지 디도스 공격이나 추가 침해에 활용할 수 있는 상태를 유지한 것이 특징이다.
이번 분석에서 섀도우크리켓은 외부에 노출된 윈도우 서버의 원격접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투했다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 온라인 슬롯를 설치해 공격자의 서버와 연결했다. 이 온라인 슬롯는 감염된 시스템에서 명령 자동 수행과 정보 탈취, 추가 온라인 슬롯 설치 등 다양한 악성 행위가 가능하다.
조사단이 섀도우크리켓에서 실제 운영하던 서버를 확보해 추적했는데, 2000개 이상의 피해 시스템이 연결돼 있었다. 이 중에는 실제로 운영 중인 시스템도 포함돼 있었다.
온라인 슬롯은 피해 예방을 위해 윈도우와 MS-SQL서버, 원격 접속 기능 등을 최신 상태로 업데이트하고, 외부에서 접근할 수 있는 설정이 열려 있는지 점검하는 것을 권고했다. 특히, 비밀번호는 영문과 숫자, 특수문자를 조합해 설정하고, 가능한 다단계 인증을 적용해야 한다고 덧붙였다.
이명수 온라인 슬롯 ASEC A-FIRST 팀장은 “이번 공격은 수천 개의 피해 시스템과 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “장기간 통제되고 있는 감염 시스템은 언제든 실제 공격에 활용될 수 있어, 악성코드 제거와 서버 무력화 등의 대응이 중요하다”고 말했다.
[조재호 기자(sw@yunminpacking.com)]
전 세계 시스템 침투해 통제권만 획득한 것이 특징
[보안뉴스 조재호 기자] 지난 13여년간 활동해온 온라인 슬롯 그룹 전모가 드러났다. ‘티에이 섀도우크리켓’은 전 세계 2000여대 서버에 침투해 금전 요구나 데이터 유출 등의 행동 없이 시스템 장악만 진행한 것이 특징이다.
▲온라인 슬롯-NCSC의 APT 그룹 추적보고서 표지 [자료: 온라인 슬롯]
온라인 슬롯과 국가사이버안보센터(NCSC)는 23일 이같은 내용을 골자로 한 ‘APT 그룹 추적보고서’를 발표했다.
이에 따르면 ‘티에이 섀도우크리켓’(TA-ShadowCricket)은 지난 2012년경 활동을 시작한 것으로 추정된다. 중국 연계가 의심되는 온라인 슬롯 그룹으로 관련 정보가 거의 없어 보안 업계에서도 주목받지 않았던 조직이다.
이 조직은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔한 온라인 슬롯 행위 없이 조용히 시스템만 장악했다. 다만, 언제든지 디도스 공격이나 추가 침해에 활용할 수 있는 상태를 유지한 것이 특징이다.
이번 분석에서 섀도우크리켓은 외부에 노출된 윈도우 서버의 원격접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투했다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 온라인 슬롯를 설치해 공격자의 서버와 연결했다. 이 온라인 슬롯는 감염된 시스템에서 명령 자동 수행과 정보 탈취, 추가 온라인 슬롯 설치 등 다양한 악성 행위가 가능하다.
조사단이 섀도우크리켓에서 실제 운영하던 서버를 확보해 추적했는데, 2000개 이상의 피해 시스템이 연결돼 있었다. 이 중에는 실제로 운영 중인 시스템도 포함돼 있었다.
온라인 슬롯은 피해 예방을 위해 윈도우와 MS-SQL서버, 원격 접속 기능 등을 최신 상태로 업데이트하고, 외부에서 접근할 수 있는 설정이 열려 있는지 점검하는 것을 권고했다. 특히, 비밀번호는 영문과 숫자, 특수문자를 조합해 설정하고, 가능한 다단계 인증을 적용해야 한다고 덧붙였다.
이명수 온라인 슬롯 ASEC A-FIRST 팀장은 “이번 공격은 수천 개의 피해 시스템과 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “장기간 통제되고 있는 감염 시스템은 언제든 실제 공격에 활용될 수 있어, 악성코드 제거와 서버 무력화 등의 대응이 중요하다”고 말했다.
[조재호 기자(sw@yunminpacking.com)]
<저작권자: 보안뉴스(www.yunminpacking.com) 무단전재-재배포금지>
조재호기자 기사보기
[2025-04-07] 
.jpg)
