참새 문
SparrowDoor는 다음과 같이 추적 새로 발견 된 APT (고급 지속 위협) 그룹에 의해 사용되는 주요 위협 FamousSparrow . 해커는 데이터를 빼돌릴 의도로 전 세계의 호텔을 노리는 것으로 보입니다. 다른 경우에 FamousSparrow는 엔지니어링 회사, 법률 회사 및 정부 기관을 손상시켰습니다.
SparrowDoor 배포
SparrowDoor 백도어는 DLL 하이재킹을 사용하는 로더를 통해 피해자의 시스템에 전달됩니다. 로더는 합법적인 K& Computing 실행 파일(Indexer.exe), 손상된 DLL 파일(K7UI.dll), 암호화된 셸코드(MpSvc.dll)의 세 가지 요소를 사용합니다. 세 가지 모두 %PROGRAMDATA%\Software\ 폴더에 삭제됩니다.
지속성을 설정하기 위해 SparrowDoor는 레지스트리 실행 키와 맬웨어 바이너리에 하드코딩된 구성 데이터를 사용하여 생성 및 실행되는 서비스에 의존합니다. 그런 다음 프로세스의 액세스 토큰을 조정하여 권한 상승을 시도합니다. 마지막 단계는 시스템 데이터를 Command-and-Control(C2, C&C) 서버로 보낸 다음 들어오는 명령을 기다리는 것입니다.
위협적인 기능
SparrowDoor는 10가지 이상의 다른 명령을 인식합니다. 손상된 시스템의 파일 시스템을 조작하여 파일 생성, 이름 변경 및 삭제를 할 수 있습니다. 또한 파일 정보(파일 속성, 파일 크기, 파일 쓰기 시간) 및 지정된 파일의 내용을 포함하여 다양한 데이터를 서버로 유출합니다. 멀웨어는 현재 프로세스를 종료하고 대화형 리버스 셸을 설정할 수 있습니다. 해커가 추적을 마스킹해야 하는 경우 SparrowDoor에 지속성 메커니즘을 제거하고 파일을 삭제하도록 지시할 수 있습니다.
