Kant's IT/Issue on IT&Security

FamousSparrow APT 그룹, 호텔 및 엔지니어링 기업 대상 커스텀 백도어 캠페인 재개

Kant Jo 2025. 5. 8. 14:30

New FamousSparrow Malware Targets Hotels and Engineering Firms with Custom Backdoor

 

  • 주요 공격 개요
    • 중국 연계 APT 그룹 FamousSparrow가 2024년 7월부터 활동을 재개한 정황 포착
    • 미국 금융계 무역기구 및 멕시코 연구기관 침해 사례 확인
    • SparrowDoor 백도어의 2종 신규 변종 발견: 하나는 Earth Estries의 CrowDoor와 유사, 다른 하나는 모듈형 구조 채택
  • 백도어 기술적 특징
    • 코드 품질 향상 및 병렬 명령 처리 기능 탑재
    • RC4 암호화 및 커스텀 소켓 통신 방식을 통해 명령 전달 및 데이터 유출 수행
    • 영속성 확보 기법 강화: 레지스트리 Run 키, Windows 서비스 등록 방식 병행
  • 침해 방식 및 공격 인프라
    • 침해 초기에는 IIS 서버 대상 ASHX 웹셸 업로드 수행
      • 대상 서버는 구형 Windows Server 및 Microsoft Exchange의 알려진 취약점 보유
    • 이후 PowerShell 기반 상호작용 세션을 통한 정찰 및 페이로드 실행
    • 공격 중 사용된 도구
      • PowerHub: 공격자 제어 PowerShell C2 프레임워크
      • BadPotato: 로컬 권한 상승 도구
      • ShadowPad: 고급 백도어, 전통적으로 중국 APT 그룹과 연관된 상용화 도구
  • 공격 대상 확장
    • 기존 호텔 및 관광업 중심에서 정부기관, 국제기구, 엔지니어링 기업까지 범위 확대
    • FamousSparrow는 GhostEmperor, Earth Estries와 일부 전술/인프라 유사성 있으나, 별도 클러스터로 분류
  • 기술 인텔리전스 시사점
    • ShadowPad 도입은 FamousSparrow의 공격 고도화 및 상업용 도구 활용 확장 의미
    • SparrowDoor는 단순 백도어 수준을 넘어 고급 지능형 위협(APT) 공격 툴체인으로 진화
    • 공격자는 여전히 공격 표면이 넓은 구형 Windows 환경 및 Exchange 서버를 주요 타깃으로 삼음
  • 보안 권고
    • IIS, Exchange 등 구형 서버의 보안 패치 적용 우선
    • ASHX, PowerShell 관련 비정상 요청 및 명령 실행 로그 정밀 모니터링
    • Run 키, 서비스 등록 등 영속성 확보 시도에 대한 EDR 기반 탐지 정책 설정 필요
    • ShadowPad, SparrowDoor 관련 YARA 룰 및 네트워크 시그니처 적용 강화
    • 국제기관 및 엔지니어링 조직은 공급망 침해 가능성 대비 정기 보안 점검 및 위협 헌팅 필요