韓國網際網路資安公司安韓公司(AhnLab)與國家網絡安全中心(NCSC)上周五(23日)發布報告,分析疑與中國有關的高級持續性威脅(APT)駭客組織「TA-ShadowCricket」的協同網絡攻擊(collaborative cyber attack)行為。
綜合韓聯社與《朝鮮日報》報導,報告指出,「TA-ShadowCricket」自2012年起開始活動,其特徵是利用暴露的Windows伺服器遠程桌面協議(RDP)功能,或MS-SQL數據庫連接進行滲透,長期秘密控制受感染伺服器。安韓公司與NCSC成功取得並分析該駭客組織營運的指揮與控制(C&C)伺服器,確認全球超過2000個系統遭到感染,按遭控制的伺服器所在地統計,中國大陸(895台)居首,其後依次為南韓(457台)、印度(98台)、越南(94台)、台灣(44台)、德國(38台)、印尼(37台)、泰國(31台)和美國(25台)等。
안랩이 국가사이버안보센터(NCSC)와 함께 TA-ShadowCricket 그룹의 활동을 분석한 보고서를 공개했습니다.
— AhnLab Security Information (@AhnLab_SecuInfo) May 23, 2025
보고서를 통해 다음의 내용을 확인해보세요
🔹TA-ShadowCricket의 특징
🔹공격 과정
🔹피해현황
🔹주요 악성코드와 도구
🔹대응 방안
보고서 다운로드: https://t.co/Y1NRVjcTKS pic.twitter.com/5gx8mJev8w
與一般駭客攻擊不同,該組織不會提出金錢要求或洩露資訊,而是長期維持對受感染系統的控制,植入後門惡意軟體以確保持續存取。這些後門被嵌入合法可執行文件中,難以被檢測,受感染系統隨時可能被用於分散式阻斷服務(DDoS)攻擊或進一步入侵。
為防止損害,專家建議用戶應保持Windows作業系統、MS-SQL伺服器及RDP功能的最新更新,設置複雜密碼,並實施多重身份驗證(MFA)等基本安全措施。安韓公司ASEC A-First團隊負責人李明洙表示:「該攻擊組織長期靜默控制數千個系統,是罕見的案例」,他強調「應採取主動應對措施,如移除惡意軟件及禁用C&C伺服器,至關重要」。
