New FamousSparrow Malware Targets Hotels and Engineering Firms with Custom Backdoor
- 주요 공격 개요
- 중국 연계 APT 그룹 FamousSparrow가 2024년 7월부터 활동을 재개한 정황 포착
- 미국 금융계 무역기구 및 멕시코 연구기관 침해 사례 확인
- SparrowDoor 백도어의 2종 신규 변종 발견: 하나는 Earth Estries의 CrowDoor와 유사, 다른 하나는 모듈형 구조 채택
- 백도어 기술적 특징
- 코드 품질 향상 및 병렬 명령 처리 기능 탑재
- RC4 암호화 및 커스텀 소켓 통신 방식을 통해 명령 전달 및 데이터 유출 수행
- 영속성 확보 기법 강화: 레지스트리 Run 키, Windows 서비스 등록 방식 병행
- 침해 방식 및 공격 인프라
- 침해 초기에는 IIS 서버 대상 ASHX 웹셸 업로드 수행
- 대상 서버는 구형 Windows Server 및 Microsoft Exchange의 알려진 취약점 보유
- 이후 PowerShell 기반 상호작용 세션을 통한 정찰 및 페이로드 실행
- 공격 중 사용된 도구
- PowerHub: 공격자 제어 PowerShell C2 프레임워크
- BadPotato: 로컬 권한 상승 도구
- ShadowPad: 고급 백도어, 전통적으로 중국 APT 그룹과 연관된 상용화 도구
- 침해 초기에는 IIS 서버 대상 ASHX 웹셸 업로드 수행
- 공격 대상 확장
- 기존 호텔 및 관광업 중심에서 정부기관, 국제기구, 엔지니어링 기업까지 범위 확대
- FamousSparrow는 GhostEmperor, Earth Estries와 일부 전술/인프라 유사성 있으나, 별도 클러스터로 분류
- 기술 인텔리전스 시사점
- ShadowPad 도입은 FamousSparrow의 공격 고도화 및 상업용 도구 활용 확장 의미
- SparrowDoor는 단순 백도어 수준을 넘어 고급 지능형 위협(APT) 공격 툴체인으로 진화
- 공격자는 여전히 공격 표면이 넓은 구형 Windows 환경 및 Exchange 서버를 주요 타깃으로 삼음
- 보안 권고
- IIS, Exchange 등 구형 서버의 보안 패치 적용 우선
- ASHX, PowerShell 관련 비정상 요청 및 명령 실행 로그 정밀 모니터링
- Run 키, 서비스 등록 등 영속성 확보 시도에 대한 EDR 기반 탐지 정책 설정 필요
- ShadowPad, SparrowDoor 관련 YARA 룰 및 네트워크 시그니처 적용 강화
- 국제기관 및 엔지니어링 조직은 공급망 침해 가능성 대비 정기 보안 점검 및 위협 헌팅 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
PlayBoy LOCKER 랜섬웨어, Windows-NAS-ESXi 시스템 동시 타깃 (0) | 2025.05.08 |
---|---|
APT36, 인도 우편청 사칭 웹사이트 통해 Windows 및 Android 사용자 감염 시도 (0) | 2025.05.08 |
15만 개 웹사이트 감염…중국계 도박 플랫폼 홍보 자바스크립트 공격 캠페인 분석 (1) | 2025.05.08 |
Morphing Meerkat 피싱 키트: 114개 브랜드를 모방하는 신종 PhaaS 위협 분석 (0) | 2025.05.08 |
2025년 해커들이 악용 중인 Top 3 MS Office 익스플로잇 분석 (0) | 2025.05.08 |