보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 사이버범죄 그룹 'TA505'에 한국 기업 당했다 [전자신문 Etnews 3월 21일자_전자신문 20190322일자 본지 09면]
아이디 | admin
날  짜 | 2019-03-22
조  회 | 382

사이버범죄 그룹 'TA505'에 한국 기업 당했다


사이버범죄 그룹 'TA505'에 한국 기업 당했다


글로벌 사이버 범죄그룹 'TA505'가 한국을 노린다. 국내 제조업 등 중소기업을 대상으로 실제 공격이 감행돼 수억원가량 피해가 발생했다. 과거 유럽, 북미 등을 중심으로 활동한 범죄그룹이 최근 동아시아 지역으로 활동 범위를 넓히면서 기업주의가 요구된다.

21일 NSHC에 따르면 사이버범죄를 목적으로 활동하는 글로벌 해킹그룹 'TA505(SectorJ04)'가 최근 한국을 대상으로 범죄활동을 확대했다고 밝혔다. TA505는 주로 유럽과 북미 지역 국가에 일반 기업을 대상으로 금전 보상 목적 해킹 활동을 수행했다. 2014년 말 활동이 포착된 후 로키랜섬웨어, 드리덱스, 네커스 등 악성코드를 유포했다.

글로벌 보안기업 프루프포인트는 TA505그룹에 대해 “필요에 따라 기성 악성코드뿐 아니라 자체제작을 통해 공격행위를 지속한다”면서 “오직 돈을 쫓아 행동하며 뛰어난 적응력과 기술을 보유했다”고 설명했다. 

TA505는 올해 2월 인도, 인도네시아 등 동남아시아지역을 시작해 대만, 한국 등 동아시아, 아르헨티나 등 남미 지역 국가로 활동범위를 넓혔다. 

국내서 실제 피해 기업이 나왔다. 제조기업 A사는 스피어피싱 공격을 받아 내부 서버 등 파일 암호화 돼 피해를 입었다. TA505는 5억원 이하 금액을 제시하며 협상을 시도한 것으로 알려졌다. 이외에도 일부 중소기업이 해당 공격으로 해커 협박을 받았다.

사이버범죄 그룹 'TA505'에 한국 기업 당했다

한국을 대상으로 해킹 활동에 악용한 이메일은 한국어로 작성된 엑셀파일을 첨부해 스마트폰에서 발송한 것처럼 위장했다. 메일 첨부된 파일명은 '인보이스'이며 메일내용은 '삼성 모바일에서 전송하였습니다'를 담았다. 한국어 사용을 최소화 했다.

이메일 첨부된 엑셀파일을 열람하기 위해 매크로 기능을 활성화하게 안내한다. 피해자가 해당 매크로를 활성화하면 원격 제어 기능을 갖는 윈도 인스톨러 파일(MSI)을 생성·실행한다. 악성코드는 'ALLO LTD'라는 전자 서명이 존재한다. 

NSHC는 보안 솔루션이 해당 악성코드를 탐지하는 것을 우회하기 위해 'TA505'그룹에서 인위적으로 악성코드에 삽입한 것으로 판단된다고 설명했다. 

최종적으로 악성코드가 실행되면 러시아, 독일 등에 위치한 C2서버로 접송해 해킹 대상 내부 네트워크 해킹을 위한 해킹툴, 추가 악성코드를 다운로드한다.

장영준 NSHC 수석 연구원은 “해당 공격 그룹 활동 포착 후 국내 몇몇 기업이 실제 피해 사례를 알려왔다”면서 “국내에서 공격을 성공해 수익을 낸 만큼 해당 범죄 조직의 한국 기업을 향한 공격은 앞으로도 계속 될 것으로 예상된다”고 말했다. 

정영일기자 jung01@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1981
608 KISA, KT·LH·SH공사 IoT기기 '보안' 검증한다 [전.. 관리자 2019-06-07 94
607 이메일·오피스 문서이어 PDF파일까지 '사이버 공격' .. 관리자 2019-06-05 106
606 러시아어 사용 APT공격 '제브로시 그룹'...세계 상대.. 관리자 2019-06-05 94
605 데이비드 노이 베리타스 부사장 "멀티시스템 환경, 데이터 관리 .. 관리자 2019-06-04 103
604 랜섬웨어도 세대교체?...'갠드크랩' 배포 중단발표 [.. 관리자 2019-06-04 108
603 파이어아이, 4일 올쇼티비서 북한·중국 사이버팀 진화 분석 [.. 관리자 2019-06-03 99
602 파일을 인질로 잡은 '랜섬웨어' [대한민국 희망 프로.. 관리자 2019-06-03 99
601 사이버 전쟁터 방불케한 '사이버 위기대응 훈련' [전.. 관리자 2019-05-30 133
600 "개인정보 유출 사고 80.5%는 외부공격" [전자신문 Etnews 5월 2.. 관리자 2019-05-30 124
599 이만재 한화생명 CISO "100% 완벽 보안은 없다…사고 대응력 높.. 관리자 2019-05-27 151
598 "국내 주요 사이트서 액티브X 취약점 발견" [전자신문 Etnews 5.. 관리자 2019-05-24 163
597 "北 사이버 공격그룹, '첩보·혼란·돈' 노린다" [전.. 관리자 2019-05-24 167
596 KISA, MS 윈도 원격관리기능(RDP) 취약점 경고...보안 업데이트 .. 관리자 2019-05-23 164
595 40억 들인 '사이버 위협 대응기술' 사업화 시동 [전자.. 관리자 2019-05-23 165
594 브루스 슈나이어 "인터넷은 보안 고려 안하고 설계돼 제대로된 .. 관리자 2019-05-21 192
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265