최근 SQL 서버나 IIS 웹서버와 같이 외부에서 접근 가능한 취약한 서버를 대상으로 공격하는 침해 사례가 빈번히 확인되고 있다. 이번 사례에서 확인된 피해 기업은 반도체 기업과 AI를 활용한 스마트 제조기업 등 두 곳이다.
안랩 ASEC 분석팀에 따르면, 이번에 해킹 공격을 수행한 공격그룹에서는 해킹 도구의 사용법이 적힌 중국어 텍스트 파일이 확인돼 올해 초 전면적인 한국 공격을 퍼부었던 샤오치잉(Dawn Cavalry)과 달빗(Dalbit)과 같이 중국 해킹그룹으로 추정하고 있다.
공격자 서버 및 유출 정보를 확인했을 때 현재 확인된 공격자의 서버는 FRP 관리 서버와 파일 서버 등 두 개의 서버가 확인됐다. 먼저, FRP 관리 서버에서 공격자는 피해 기업 서버에 FRP를 설치했다. 따라서 해당 페이지에는 FRP가 설치된 감염 PC와 공격자가 사용하는 프록시 서버 정보를 확인할 수 있다.
출처: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=33516&key=&dir_group_dist=&dir_code=&searchDate=
느낀 점: 이번 뉴스를 기점으로 샤오치잉과 달빗의 중국 해킹그룹에 대해 알게되었다. 이를 통해, '샤오치잉'은 중국어로 '새벽의 기병대' 라는 뜻이고, 달빛은 이용하기 시작한 호스팅 서버를 토대로 '달빗'이라고 이름을 지은 것을 알 수 있었다. 또한 '샤오치잉'에 대해 알아본 결과, 대한민국을 겨냥해 해킹을 예고한 후, 얼마 지나지 않아 다크 웹을 통해 국내 주요 연구소, 학회 웹사이트 등의 메인 홈페이지가 변경되고 개인정보가 유포되는 피해가 있었다는 것을 알 수 있었다. 따라서 의료기관이나 모든 기업에서 운영체제 및 소프트웨어 버전 업그레이드 등 보안에 대한 의식을 높여야 할 필요가 있을 것 같다.
'보안뉴스' 카테고리의 다른 글
강력해진 BEC 공격자들, MS의 ‘불가능한 이동’ 경고도 속인다 (25-05 11주차) (0) | 2023.05.25 |
---|---|
새롭게 등장한 RA그룹, 바북 소스코드 개조해 활동 수위 높이는 중 (17-05 10주차) (0) | 2023.05.17 |
챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT (05-05 8주차) (0) | 2023.05.05 |
수억 개의 아티팩트가 설정 잘못된 레지스트리 통해 노출되어 있다(25-04 7주차) (0) | 2023.04.26 |
스캠의 진화... 대화형 스캠이 당신을 노린다 (21-04 6주차) (0) | 2023.04.21 |