보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 사이버범죄 그룹 'TA505'에 한국 기업 당했다 [전자신문 Etnews 3월 21일자_전자신문 20190322일자 본지 09면]
아이디 | admin
날  짜 | 2019-03-22
조  회 | 133

사이버범죄 그룹 'TA505'에 한국 기업 당했다


사이버범죄 그룹 'TA505'에 한국 기업 당했다


글로벌 사이버 범죄그룹 'TA505'가 한국을 노린다. 국내 제조업 등 중소기업을 대상으로 실제 공격이 감행돼 수억원가량 피해가 발생했다. 과거 유럽, 북미 등을 중심으로 활동한 범죄그룹이 최근 동아시아 지역으로 활동 범위를 넓히면서 기업주의가 요구된다.

21일 NSHC에 따르면 사이버범죄를 목적으로 활동하는 글로벌 해킹그룹 'TA505(SectorJ04)'가 최근 한국을 대상으로 범죄활동을 확대했다고 밝혔다. TA505는 주로 유럽과 북미 지역 국가에 일반 기업을 대상으로 금전 보상 목적 해킹 활동을 수행했다. 2014년 말 활동이 포착된 후 로키랜섬웨어, 드리덱스, 네커스 등 악성코드를 유포했다.

글로벌 보안기업 프루프포인트는 TA505그룹에 대해 “필요에 따라 기성 악성코드뿐 아니라 자체제작을 통해 공격행위를 지속한다”면서 “오직 돈을 쫓아 행동하며 뛰어난 적응력과 기술을 보유했다”고 설명했다. 

TA505는 올해 2월 인도, 인도네시아 등 동남아시아지역을 시작해 대만, 한국 등 동아시아, 아르헨티나 등 남미 지역 국가로 활동범위를 넓혔다. 

국내서 실제 피해 기업이 나왔다. 제조기업 A사는 스피어피싱 공격을 받아 내부 서버 등 파일 암호화 돼 피해를 입었다. TA505는 5억원 이하 금액을 제시하며 협상을 시도한 것으로 알려졌다. 이외에도 일부 중소기업이 해당 공격으로 해커 협박을 받았다.

사이버범죄 그룹 'TA505'에 한국 기업 당했다

한국을 대상으로 해킹 활동에 악용한 이메일은 한국어로 작성된 엑셀파일을 첨부해 스마트폰에서 발송한 것처럼 위장했다. 메일 첨부된 파일명은 '인보이스'이며 메일내용은 '삼성 모바일에서 전송하였습니다'를 담았다. 한국어 사용을 최소화 했다.

이메일 첨부된 엑셀파일을 열람하기 위해 매크로 기능을 활성화하게 안내한다. 피해자가 해당 매크로를 활성화하면 원격 제어 기능을 갖는 윈도 인스톨러 파일(MSI)을 생성·실행한다. 악성코드는 'ALLO LTD'라는 전자 서명이 존재한다. 

NSHC는 보안 솔루션이 해당 악성코드를 탐지하는 것을 우회하기 위해 'TA505'그룹에서 인위적으로 악성코드에 삽입한 것으로 판단된다고 설명했다. 

최종적으로 악성코드가 실행되면 러시아, 독일 등에 위치한 C2서버로 접송해 해킹 대상 내부 네트워크 해킹을 위한 해킹툴, 추가 악성코드를 다운로드한다.

장영준 NSHC 수석 연구원은 “해당 공격 그룹 활동 포착 후 국내 몇몇 기업이 실제 피해 사례를 알려왔다”면서 “국내에서 공격을 성공해 수익을 낸 만큼 해당 범죄 조직의 한국 기업을 향한 공격은 앞으로도 계속 될 것으로 예상된다”고 말했다. 

정영일기자 jung01@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1441
584 AWS, 올해 금융 클라우드 시장 확대 노린다 [전자신문 Etnews 4.. 관리자 2019-04-18 2
583 클라우드 제2장 위해 보안은 필수 [전자신문 Etnews 4월 15일자.. 관리자 2019-04-15 11
582 국방부, 군 인사 ERP 교체 시동…공공도 탈오라클? [전자신문 Et.. 관리자 2019-04-15 12
581 글로벌 기업 10곳 가운데 7곳, 사이버 공격에 '무방비'.. 관리자 2019-04-12 28
580 KISA, 국내 5개 대학 정보보호 학과에 'AI 보안기술' .. 관리자 2019-04-12 32
579 이스트시큐리티, 1분기 차단 랜섬웨어 '32만 506건'.... 관리자 2019-04-10 34
578 이대호 F1시큐리티 대표 "동남아 지역 '보안 한류' 주.. 관리자 2019-04-05 54
577 금융보안원, 180개 금융사 대상 '침해사고 대응훈련' .. 관리자 2019-04-05 47
576 암호화폐거래소 노린 사이버 공격 재점화 [전자신문 Etnews 4월 .. 관리자 2019-04-05 55
575 외교·안보 자료 위장 '스피어피싱' 주의 [전자신문 .. 관리자 2019-04-04 54
574 쿤텍, 공격자 속이는 보안 솔루션 '디셉션그리드' 출.. 관리자 2019-04-03 55
573 스마트공장 수준확인제도에도 '보안'은 뒷전 [전자신.. 관리자 2019-04-03 51
572 '파일암호화부터 개인정보 유출'까지...진화한 랜섬웨.. 관리자 2019-04-02 50
571 한국IT직업전문학교, '제1회 정보보안 윤리의식 선포식.. 관리자 2019-04-02 55
570 자고 일어나면 '해킹'사건..."아무것도 믿지 마라" [.. 관리자 2019-04-02 52
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265