대만 방산기업 공격한 그룹, 국내 기업 표적으로 활동 - 데이터넷
대만 방산기업 공격한 그룹, 국내 기업 표적으로 활동 - 데이터넷
[데이터넷] 대만 방산기업중 드론 개발업체를 중점적으로 공격한 ‘티아이드론(TIDRONE)’이 우리나라 기업을 표적으로 삼고 있는 것으로 나타났다.안랩에 따르면 티아이드론이 사용하는 백도어
www.datanet.co.kr
- 공격 개요
- 공격 그룹: 티아이드론(TIDRONE)
- 주요 표적: 대만 방산기업 및 국내 기업
- 공격 방식
- 백도어 CLNTEND를 이용한 공격
- 하반기에는 국내 ERP 시스템을 통해 악성코드 유포 정황 발견
- 악용된 ERP 소프트웨어는 소규모 개발사가 특정 고객사에 커스터마이징한 제품
- 악성코드 특징
- 정상 ERP 파일의 크기는 20MB 수준이나, 악성코드 버전은 4MB로 크기가 현저히 작음
- ERP 및 RDP 솔루션 울트라VNC를 활용해 백도어 CXCLNT와 CLNTEND 설치
- 중국어를 사용하는 공격 그룹과의 연관성 의심
- 보안 전문가 분석
- 트렌드마이크로
- 티아이드론은 대만 외 여러 국가 공격 중
- ERP 및 원격 데스크톱 프로토콜(RDP) 솔루션을 악용
- 안랩
- 상반기 국내 기업 대상 공격 방식은 확인되지 않았으나, 하반기부터 ERP를 통한 유포 정황
- 사용자가 소수인 소규모 ERP 제작업체의 제품이 주요 경로로 활용
- 트렌드마이크로
- 권장 보안 조치
- 보안 솔루션 최신화: 안랩 V3 및 기타 보안 제품을 최신 상태로 유지하여 악성코드 감염 사전 차단
- ERP 시스템 보안 강화
- ERP 소프트웨어와 관련된 의심스러운 크기나 비정상 동작 확인
- 사용 중인 ERP 시스템에 대한 정기적인 보안 점검 및 업데이트 실시
- 백도어 탐지 및 방어
- 네트워크 트래픽을 모니터링하여 의심스러운 접속 차단
- 백도어 설치 가능성을 낮추기 위한 다단계 인증(MFA) 도입
- 소규모 개발사 협력사 점검
- ERP를 포함한 소프트웨어 공급망 보안을 강화
- 소프트웨어 공급업체의 보안 인증 및 점검 절차 확인
- 결론
- 티아이드론은 소규모 ERP 제작사의 취약점을 악용하여 표적 기업에 백도어를 설치하고 있는 정황이 발견됨
- 소프트웨어 공급망 보안 강화와 ERP 시스템의 지속적인 점검 및 업데이트가 필수적임
- 국내 기업은 공격 경로와 악성코드 특징에 대한 정보를 공유하고, 사전 예방적 보안 조치를 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 미국 CISA의 모바일 안전 가이드라인 분석 (2) | 2024.12.27 |
|---|---|
| AI 디지털 교과서 관련 개인정보 유출 사고 (1) | 2024.12.27 |
| 정부, 2025년 사이버 위협 전망 및 2024년 사이버 위협 사례 분석 (1) | 2024.12.26 |
| 워드프레스 사용자 39만 명 계정 유출 사건 (1) | 2024.12.26 |
| 디지털 전환 시대의 주요 문제와 핵심 과제 (1) | 2024.12.26 |