페이머스스패로우 APT

사이버 범죄 환경에 새로운 APT(Advanced Persistent Threat) 그룹이 설립되었습니다. 이는 이를 FamousSparrow APT로 지정한 연구원들에 의해 발견되었습니다. 그룹은 2019년경 결성된 것으로 추정되며 이후 활동 중이다. FamousSparrow로 인한 공격은 주로 호텔 컴퓨터 시스템을 손상시키는 데 중점을 둡니다. 일부 경우에 이 그룹은 정부 기관, 민간 엔지니어링 회사 및 법률 회사도 대상으로 삼았습니다.

희생자의 프로필은 FamousSparrow의 주요 목표가 사이버 스파이 활동을 수행하는 것임을 시사합니다. 그룹이 특정 지역을 타겟팅하지 않는 것 같습니다.특히 미국, 브라질, 프랑스, 영국, 사우디 아라비아, 태국, 대만 등 전 세계에서 희생자가 감지되었습니다.

공격 체인

3월에 FamousSparrow는 공격 작전을 조정했습니다.신속하게 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 악용하기 시작했습니다. 당시에는 10개 이상의 서로 다른 APT 그룹이 Exchange 메일 서버를 장악하기 위한 공격을 시작했습니다. 이 그룹이 악용한 다른 취약점은 Microsoft SharePoint 및 Oracle Opera에 영향을 미칩니다.

피해자의 컴퓨터를 손상시킨 후 FamousSparrow는 Mimikatz의 두 가지 사용자 지정 버전과 SparrowDoor라는 이전에 알려지지 않은 백도어 맬웨어 위협을 배포했습니다 . 또한 백도어용 사용자 지정 로더, 자격 증명 수집 작업을 수행하는 것으로 보이는 유틸리티 및 NetBIOS 스캐너도 활용합니다.

다른 ATP와의 연결

조사하는 동안 infosec 연구원은 FamousSparrow와 이미 설정된 ATP 사이에 여러 연결을 설정할 수 있었습니다. 예를 들어, 한 경우에 그룹은 Motnug 변형을 사용했는데, 이는 SparklingGoblin 해커. 다른 피해자에서 연구원들은 이전에 DRBControl 그룹에 연결된 Command-and-Control(C2, C&C) 도메인을 사용하는 활성 Metasploit 버전을 발견했습니다.