【성명】TeamT5의 CrazyHunter 최근 공격 사건에 대한 설명

CrazyHunter가 최근 침입했다고 주장한 대만 기업들은 조사 결과, 모두 TeamT5의 고객이 아니며 ThreatSonar Anti-Ransomware 엔드포인트 보호 제품을 배포하지 않은 것으로 확인되었습니다.

TeamT5 MDR 서비스 팀은 사건 발생 즉시 관련 IoC(침해 지표)에 대한 검사를 적극적으로 시작하여 고객 환경에 악성 프로그램 활동이 있는지 전체적으로 검토하고, 엔드포인트 보고서 및 활동 기록을 검토하여 잠재적 위협이 없는지 확인했습니다. 현재 TeamT5가 관리하는 모든 환경은 영향을 받지 않았으며, 앞으로도 고객 환경의 보안을 지속적으로 모니터링할 것입니다.

TeamT5 위협 인텔리전스 팀의 분석 결과, 해당 랜섬웨어는 Prince Ransomware를 기반으로 개발된 것으로 확인되었습니다. 관련 악성 프로그램을 추가로 추적한 결과, 간체 중국어 개발 정보가 포함되어 있어 공격자의 출처를 추측할 수 있습니다. 또한, 랜섬웨어가 그룹 정책 개체(Group Policy Object, GPO)를 통해 확산하기 위해 사용한 도구는 SharpGPOAbuse로, 공격자들이 내부 네트워크 침투 시 AD(Active Directory)를 조작하고 기업 네트워크를 추가로 제어하기 위해 자주 사용하는 도구입니다.

위의 위협 분석 결과를 바탕으로, TeamT5는 잠재적으로 영향을 받을 수 있는 기업과 조직에 적극적으로 알리고, 관련 위협 인텔리전스와 긴급 대응 조치를 제공하여 방어를 강화하도록 지원했습니다.

이번 사건은 점점 더 복잡해지는 랜섬웨어 공격에 직면하여, 기업들이 엔드포인트 방어 메커니즘을 조기에 배포할 뿐만 아니라 정보 보안 전문 팀과 협력하여 전체 정보 보안 환경을 지속적으로 검토하고 최적화해야 함을 보여줍니다. TeamT5는 계속해서 실시간 인텔리전스와 전문적인 지원을 제공하여 기업이 위협 과제에 더 안정적으로 대응할 수 있도록 지원할 것입니다.