NCSC와 함께한 TA-ShadowCricket 분석: 최신 악성코드 트렌드와 IRC 서버 추적
안랩과 국가사이버안보센터(National Cyber Security Center, 이하 NCSC)는 2023년 부터 최근까지 TA-ShadowCricket 그룹의 활동을 분석한 보고서를 공개했다.
보고서 전문 : (APT그룹추적보고서) TA-ShadowCricket_2025.05.23.pdf
안랩은 2024년 11월부터 NCSC과 함께 악성 IRC 서버와 관련 악성코드를 분석해 식별되지 않은 위협 행위자인 Larva-24013로 할당해 추적했으며, 이들이 기존 Shadow Force 그룹과 연관되어 있음을 확인했다.
안랩은 ‘위협 행위자 분류 체계와 명명법’을 통해 위협 행위를 4단계로 관리하고 있으며, 위협 행위자를 식별되지 않은 위협 행위자(Larva)와 식별된 위협행위자(Arthropod)로 분류한다.
이에 안랩의 위협 행위자 분류 체계와 명명법에 따라 식별된 위협행위자인 TA-ShadowCricket으로 새롭게 명명했다.
TA-ShadowCricket 그룹
TA-ShadowCricket은 기존에 Shadow Force 로 불리던 공격 그룹으로 중국과 관련된 것으로 추정된다.
2012년 부터 한국을 포함한 아시아 태평양 지역 국가에서 활동해오고 있으며, 주로 외부에 노출된 윈도우 서버의 원격 접속 기능이나 MS SQL 서버를 침투해 IRC봇이나 백도어를 설치해 관리했다.
TA-ShadowCricket의 일부 악성코드와 도구에는 제작자와 관련된 것으로 보이는 키워드인 ‘Melody’, ‘Syrinx’, ‘WinEggDrop’이 포함돼 있다.
IRC 서버 분석
현재까지도 이 그룹은 동일한 도메인 이름의 IRC 서버를 운영하고 있으며, 해당 도메인에는 현재 한국 IP가 연결돼 있다.
안랩과 NCSC는 IRC 서버가 설치되어 C&C 서버로 사용되고 있는 시스템을 확보했으며, 이를 분석한 결과 전 세계 72 개국 2,000 여 대의 피해 IP를 확인했다.
IP 기준 지역별 분포는 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등 총 72개국 소재 장비를 대상으로 IRC 기반 봇넷을 구축한 정황이 확인됐다.
2020년 7월부터 2025년 2월까지 RDP로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다.
악성코드와 도구
10년 이상의 활동 기간동안 다양한 악성코드와 도구들이 식별되었으며 일부 악성코드와 도구는 활동 시기에 따라 변경되는 모습들을 보였지만, 지속적으로 사용해온 악성코드와 도구들도 존재한다.
TA-ShadowCricket 그룹이 시스템 침해 후 사용한 악성코드와 도구는 단계별로 구분된다.
침해 후에 악성코드를 설치해 운용하는 단계는 크게 3단계로 나눠 볼 수 있다.
Stage1은 악성코드를 다운로드 및 설치하는 과정이며, 다운로더, 명령어 실행 툴들이 사용된다. Stage 2는 주로 Backdoor 류를 설치하며, Stage 3은 추가 악성행위를 위한 악성코드 설치로 나눌 수 있다.
2023년부터 현재까지 이용 중인 악성코드 및 도구는 다음과 같다.
|
단계 |
유형 |
기간 |
이름 |
주요 기능 |
|
Stage 1 |
정찰 및 추가 악성코드 설치 |
2023 ~ |
Upm |
권한 상승, 시스템 정보 수집, 추가 악성코드 다운로드 및 설치 |
|
정찰 및 추가 악성코드 설치 |
2023 ~ |
SqlShell |
권한 상승, 시스템 정보 수집, 추가 악성코드 다운로드 및 설치 |
|
|
다운로더 |
2024 |
Downloader |
FTP에서 백도어 다운로드 |
|
|
파일 패치 |
2014 ~ |
Pemodifier |
지속성 유지를 위한 정상 실행 파일 패치 |
|
|
Stage 2 |
백도어 |
2021 ~ |
Maggie |
원격 명령 실행 |
|
백도어 |
2012 ~ |
Wgdrop |
IRC 봇. 원격 명령 실행 |
|
|
백도어 |
2019 ~ 2024 |
Sqldoor |
원격 명령 실행 |
|
|
Stage 3 |
정보 수집 |
2023 ~ |
CredentialStealer |
크리덴셜 훔침 |
|
후킹 |
2024 ~ |
Detofin |
Detour를 사용하여 특정 API 후킹 |
|
|
코인 채굴 |
2021 ~ |
Miner |
코인 채굴 |
|
|
스캐너 |
2023 ~ |
MaggieScan |
취약한 MS-SQL 서버를 찾아주는 스캐너 |
|
|
계정 |
2021 ~ |
ShadUser |
계정 관리 및 정보 수집 |
|
|
도구 |
2024 |
AddPath |
Windows Defender 예외 경로 추가 |
|
|
네트워크 |
2021 ~ |
Fport / Mport |
포트 매핑 |
공격자는 윈도우 실행 파일을 패치하는 도구인 Pemodifier를 이용해 시스템 운영에 필요한 파일을 변조해 악성 DLL 파일을 로드한다. 이 도구의 파일 이름은 iat.exe 혹은 iatinfect.exe 이다.
백도어 역할을 하는 Shadowforce 악성코드는 2021년 부터 서서히 Maggie 악성코드로 변경되지만 현재도 파일 이름은 여전히 ntuser.dat를 즐겨 사용하고 있다. 사용자 추가, RDP 설정 변경 등 다른 기능을 가진 도구 이름에 re.0001 파일명을 사용한다.
많은 백도어가 지정된 C&C 서버로 접속해 명령을 받아오는 형태이지만 TA-ShadowCricket 그룹의 백도어는 고정된 C&C 서버가 없다.
Shadowforce 악성코드는 패킷 캡쳐 라이브러리인 WinPcap을 설치해 특정 신호(Magic Sequence)를 포함한 네트워크 패킷을 통해 백도어 가 활성화된다. Maggie 악성코드는 MS SQL 서버에서 지원하는 Extended Stored Procedure (ESP)로 작성되어, SQL 쿼리로 제어할 수 있다.
일부 피해 시스템에서는 키로거, 크리덴셜 탈취, 가상자산 채굴기(Miner) 설치도 확인됐다.
결론
TA-ShadowForce 그룹은 10년 넘게 한국을 기반으로 아시아 지역에서 활동하고 있다. 공격자는 동일한 파일 이름의 악성코드와 도구를 지속적으로 사용하는 등 기존 공격 관성을 그대로 유지하고 있다.
그럼에도 보안 기업이나 기관에서 이 위협 그룹에 대해 많이 다루고 있지 않아, 여전히 정보는 부족한 상황이다.
TA-ShadowCricket 그룹은 침해 후에 금전을 요구하지 않고 훔친 정보를 다크웹에도 공개하지 않으며 13년 넘게 조용히 활동하고 있다.
감염 시스템 제어를 위한 C2 서버 및 수천개 IP의 피해시스템을 현재까지 지속적으로 관리하고 있다. 이는 추후 DDoS와 같은 공격을 위한 인프라 확보로 볼 수도 있다.
사용되는 도구 및 제작자, 주요 피해 지역, 중국 IP에서 C&C 서버 관리 목적으로 접속 등 여러 정황들로 보아 중국과 관련성은 있어보이나, 악성코드 내 자신의 닉네임을 남긴 다던가, 최근 마이너를 설치하는 등의 정황은 국가 차원의 지원은 받는 APT 그룹으로 보기에는 의문을 갖게 한다.
이번 합동 분석을 통해 TA-ShadowCricket 그룹은 여전히 IRC봇을 이용해 침해 시스템을 관리하고 있다는 사실이 확인됐다.
IRC 서버 분석을 통해 2천대 이상의 봇을 운영 중인 것으로 파악되었으며, 언제 발생될지 모르는 피해 확산을 막기 위해 이 IRC 서버의 차단 및 해당 악성코드들의 치료 및 무력화가 필요하다.
