FamousSparrow, SparrowDoor 백도어 변종으로 미국·멕시코 기관 공격

New SparrowDoor Backdoor Variants Found in Attacks on U.S. and Mexican Organizations

New SparrowDoor Backdoor Variants Found in Attacks on U.S. and Mexican Organizations

 

• 공격 개요 및 배후 그룹
  • FamousSparrow는 중국 연계 APT 그룹으로 호텔, 정부기관, 법률회사, 엔지니어링 기업 등을 대상으로 한 사이버 스파이 활동으로 알려짐
  • 2024년 7월 미국 무역 단체와 멕시코 연구기관을 대상으로 새로운 SparrowDoor 및 ShadowPad 백도어를 사용한 공격 수행
  • 해당 캠페인은 FamousSparrow가 처음으로 중국 국가배후 그룹 간 공유되는 ShadowPad를 활용한 사례
• 침투 경로 및 공격 체인
  • 피해 서버는 IIS 웹 서버 및 Microsoft Exchange Server의 구버전으로 확인
  • 초기 침투는 불특정 웹셸 설치로 시작되며, 이후 원격 서버에서 배치 스크립트를 다운로드
  • 배치 스크립트 내부에 포함된 Base64 인코딩된 .NET 웹셸을 실행하여 SparrowDoor 및 ShadowPad 배포
• SparrowDoor 백도어 기능 분석
  • 첫 번째 변종은 기존 Crowdoor와 유사하나, 명령 병렬 처리 기능 추가
    • 시간 소모적인 작업(파일 I/O, 셸 명령 등)을 별도 쓰레드로 처리하여 C2와 실시간 상호작용 유지
    • 각 명령 실행 시 새로운 연결 생성, 고유 피해자 ID 및 명령 ID로 연결 식별 및 추적
  • 두 번째 변종은 모듈형 구조로 구성되어 확장성과 기능별 분리가 용이
    • 총 9개 모듈 포함
      • Cmd: 단일 명령 실행
      • CFile: 파일 시스템 조작
      • CKeylogPlug: 키로깅
      • CSocket: TCP 프록시 실행
      • CShell: 대화형 셸 세션
      • CTransf: C2와 파일 송수신
      • CRdp: 스크린샷 캡처
      • CPro: 프로세스 조회 및 종료
      • CFileMoniter: 디렉토리 파일 변경 감시
• ShadowPad 활용 및 연계성
  • ShadowPad는 PlugX 이후 널리 사용되는 중국 APT 그룹 간 공유 악성코드 플랫폼
  • FamousSparrow의 ShadowPad 사용은 Earth Estries, GhostEmperor, Salt Typhoon 등 다른 그룹과의 전술 중첩 가능성 시사
  • 그러나 ESET은 FamousSparrow를 독립된 그룹으로 판단하며 Crowdoor, HemiGate 등의 전술 유사성만 존재
• 결론
  • SparrowDoor는 모듈화, 병렬처리 기능 등 구조적 고도화 진행 중이며, ShadowPad 도입으로 활동 범위 및 정교함 증가
  • IIS 및 Exchange Server 구버전 시스템을 지속적으로 노리는 점은 전통적 인프라 기반 기관들의 보안 취약성을 악용하는 전형적 중국 APT 전술
  • 웹셸, 백도어 이중 배포 및 C2 제어체계의 정교함은 장기적인 정찰 및 지속 침투 목적에 부합