본문 바로가기
보안 위협 동향

한국과 일본의 기관과 기업을 노리는 틱(Tick) 그룹 동향

by mstoned7 2019. 4. 1.

틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드 나이트(RedBaldKnight) 등으로도 불리는 공격 그룹으로, 지난 2014년부터 본격적인 활동이 포착되었다. 

이 그룹이 처음 알려진 것은 2013년 어도비 플래시 플레이어 제로데이 취약점인 CVE-2013-0633과 CVE-2013-0634를 이용한 레이디보일(Ladyboyle) 이다.   2016년 4월 시만텍(Symantect)이 처음으로 이 그룹을 ‘틱(Tick)’으로 명명 했으며, 같은 해 11월 일본의 보안 업체인 LAC 에서 이 그룹의 일본 활동을 공개했다.  2017년 6월에는 시큐어웍스(SecureWorks)에서 브론즈 버틀러(Bronze Butler) 라는 이름으로 이 그룹의 활동을 공개하고, 같은 해 7월 팔로알토 와 11월 트렌드마이크로 에서 추가 정보를 공개했다. 2018년 6월 팔로알토 유닛42는 이 그룹이 한국의 보안 USB에 대한 공격도 시도했다고 밝혔다.  

2014년 이후에는 주로 한국과 일본 기관 및 기업에 대한 공격을 시도하고 있다. 다만 이 보다 앞선 2008년 국내에서 해당 그룹과 관련된 악성코드가 발견된 바 있어 이 그룹의 국내 공격은 상당히 오랫동안 지속되었을 가능성이 있다. 

이 그룹은 한국과 일본의 IT 환경을 연구해 공격을 전개하고 있다. 일본에서 주로 사용되는 제품의 취약점을 이용해 악성코드를 감염시켰으며, 한국에서는 취약점 공격 외에도 국산 백신이나 보안 USB 제품을 공격하는 등 다양한 공격을 시도하고 있다.

 

이 그룹이 일본에서 전개한 공격에 대해서는 잘 알려져 있으나 상대적으로 한국에서의 활동에 대해서는 알려진 것이 적다. 

 

관련 내용은 다음 주소에서 확인 할 수 있다.

 

- 한일 양국에서 전개되는 타깃 공격의 실체

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28186

 

- Tick Group 공격 동향 보고서 전문 (PDF)

http://download.ahnlab.com/kr/site/library/[Analysis_Report]Tick__Threat_Group.pdf

댓글0