SparrowDoor 백도어 변형

FamousSparrow로 알려진 중국 사이버 스파이 그룹은 미국의 무역 그룹과 멕시코 연구 기관에 대한 새로운 공격과 관련이 있으며, ShadowPad 맬웨어와 함께 악명 높은 SparrowDoor 백도어를 배치했습니다. 2024년 7월에 관찰된 이 활동은 그룹이 중국 국가 지원 행위자들이 자주 사용하는 도구인 ShadowPad를 활용한 첫 번째 사례입니다.

SparrowDoor의 진화: 더욱 정교한 위협

FamousSparrow는 SparrowDoor 백도어의 두 가지 새로운 변형을 도입했는데, 그 중 하나는 모듈식입니다. 이러한 버전은 효율성을 높이기 위해 명령의 병렬 실행을 통합하여 기능 면에서 상당한 도약을 나타냅니다.

이는 이전 버전에서 크게 업그레이드된 것입니다. 이를 통해 맬웨어는 진행 중인 작업을 중단하지 않고 파일 작업 및 대화형 셸 세션과 같은 명령을 실행할 수 있습니다.

스파이의 역사: FamousSparrow의 주목할만한 공격

2021년 9월에 처음 발견된 FamousSparrow는 호텔, 정부, 엔지니어링 회사 및 로펌에 대한 사이버 공격과 관련이 있습니다. 이 그룹은 이전에 SparrowDoor를 독점적인 임플란트로 사용하여 독립적으로 운영되었습니다.

시간이 지나면서 연구자들은 FamousSparrow와 Earth Estries, GhostEmperor, Salt Typhoon 과 같은 다른 중국 해킹 그룹 사이에 전술적 유사점을 관찰했습니다. 후자는 통신 분야를 표적으로 삼은 것으로 알려져 있습니다. 그러나 이러한 중복에도 불구하고 FamousSparrow는 고유한 특성을 가진 별도의 위협 그룹으로 분류됩니다.

공격 체인: 침해가 어떻게 전개되었는가

공격은 FamousSparrow가 취약한 IIS 서버에 웹 셸을 배포하면서 시작됩니다. 초기 액세스를 얻는 정확한 방법은 알려지지 않았지만, 영향을 받은 두 조직 모두 오래된 버전의 Windows와 Microsoft Exchange Server를 실행하고 있어 주요 타겟이 되었습니다.

웹 셸이 제자리에 있으면 원격 배치 스크립트의 발사대 역할을 합니다. 이 스크립트는 Base64로 인코딩된 .NET 웹 셸을 실행하여 궁극적으로 SparrowDoor와 ShadowPad를 모두 손상된 시스템에 배포합니다.

SparrowDoor의 작동 방식: 기능에 대한 심층 분석

새로운 SparrowDoor 변종 중 하나는 이전에 문서화된 맬웨어인 Crowdoor 와 유사점을 공유합니다. 그러나 두 버전 모두 다음을 포함한 상당한 개선 사항을 도입합니다.

• 병렬 작업 실행 – 백도어는 여러 명령을 동시에 실행하여 성능을 향상할 수 있습니다.
• 동적 명령 처리 – 명령은 새로운 스레드를 트리거하여 명령 및 제어(C&C) 서버에 별도의 연결을 설정합니다.
• 피해자 추적 – 각 연결에는 고유한 피해자 ID와 명령 ID가 포함되어 있어 C&C 서버가 진행 중인 작업을 효율적으로 관리하는 데 도움이 됩니다.

SparrowDoor는 기능을 강화하는 다양한 기능을 갖추고 있습니다. 프록시를 설정하고, 은밀한 통신을 허용하고, 실시간 명령 실행을 가능하게 하기 위해 대화형 셸 세션을 시작할 수 있습니다. 백도어는 또한 파일 읽기, 쓰기, 수정을 포함한 다양한 파일 작업을 처리할 수 있으며, 동시에 파일 시스템을 열거하여 사용 가능한 디렉토리와 데이터를 매핑할 수 있습니다. 또한 자세한 호스트 정보를 수집하여 공격자에게 손상된 시스템에 대한 통찰력을 제공합니다. 필요한 경우 SparrowDoor는 자신을 완전히 제거하여 존재의 흔적이 지워지도록 할 수도 있습니다.

모듈식 접근 방식: SparrowDoor의 향상된 버전

두 번째로 더욱 발전된 SparrowDoor 변형은 모듈식 플러그인 기반 디자인을 도입하여 9개의 전문 모듈을 통해 기능을 확장합니다.

• Cmd – 시스템 명령 실행
• CFile – 파일 작업 관리
• CKeylogPlug – 키 입력 기록
• CSocket – TCP 프록시 설정
• CShell – 대화형 셸 세션 시작
• CTransf – 감염된 호스트와 C&C 서버 간 파일 전송
• CRdp – 스크린샷 캡처
• CPro – 실행 중인 프로세스 나열 및 종료
• CFileMoniter – 특정 디렉토리의 파일 시스템 변경 사항 추적

FamousSparrow: 여전히 활동적이고, 여전히 진화 중

최근의 이 활동 물결은 FamousSparrow가 여전히 활동 중일 뿐만 아니라 SparrowDoor 백도어의 지속적인 개발에 투자하고 있다는 것을 확인시켜 줍니다. 모듈식 기능의 도입과 ShadowPad의 채택으로 이 그룹은 분명히 진화하고 있으며, 앞으로 더욱 심각한 사이버 보안 위협을 초래하고 있습니다.