아직 정체가 밝혀지지 않은 APT 단체인 페이머스스패로우에 대한 분석 내용이 일부 공개됐다. 2019년부터 활동해 왔으며, 최근에는 호텔을 겨냥해 프록시로그온 취약점을 익스플로잇한다는 것이다. 아직까지는 이들의 목적이 에스피오나지인 것으로 보인다.
[보안뉴스 문가용 기자] 새로운 사이버 해킹 단체가 적발됐다. 이름은 페이머스스패로우(FamousSparrow)라고 하며, 전 세계 호텔, 정부 기관, 사기업체들을 공격하고 있다고 한다. 페이머스스패로우의 주요 공격 방식은 현재로서 프록시로그온(ProxyLogon) 취약점을 익스플로잇 하고 나서 스패로우도어(SparrowDoor)라는 백도어를 심는 것이라고 한다.
페이머스스패로우를 발견하고 추적한 건 보안 업체 이셋(ESET)이다. 이셋이 여태까지 알아낸 바에 의하면 페이머스스패로우는 최소 2019년부터 활동해 왔다고 한다. 당시 페이머스스패로우는 아프리카의 한 조직을 침해했었고, 이를 이셋의 마티우 파오우(Matthieu Faou)와 타신 빈 타지(Tahseen Bin Taj)가 발견했다고 한다. “그리고 올해 3월 3일부터는 프록시로그온 취약점을 익스플로잇 하기 시작했습니다.” 프록시로그온은 마이크로소프트의 익스체인지(Exchange) 서버에서 발견된 취약점이다.
페이머스스패로우의 주요 표적인 호텔인 것으로 보인다. 하지만 그것에 국한되어 있지는 않다. 정부 기관들과 국제 기구, 엔지니어링 업체와 로펌들에서 피해가 발견되고 있다. 페이머스스패로우의 흔적이 발견된 나라는 브라질, 부르키나파소, 남아프리카공화국, 캐나다, 이스라엘, 프랑스, 리투아니아, 과테말라, 사우디아라비아, 대만, 태국, 영국이다.
“멀웨어의 측면에서 보자면 페이머스스패로우는 2019년 당시에나 지금에나 크게 변한 것이 없습니다. 하지만 공격의 방향성이랄까, 전략이라는 측면에서는 중요한 변화가 있었습니다. 2020년부터 호텔을 집중적으로 공략하기 시작했거든요. 정부 기관을 노리는 곳은 많은데 호텔을 집중적으로 노리는 APT 단체들은 그리 많지 않죠. 페이머스스패로우가 꽤나 독특한 행보를 보이고 있다고 봐도 됩니다.”
이셋이 파악하는 페이머스스패로우의 주요 공격 목적은 ‘에스피오나지’ 즉 사이버 정찰 혹은 염탐이다. “호텔을 공략하는 것과 에스피오나지에는 연관성이 있습니다. 공격자들의 표적이 될 만한 인물들이 출장을 자주 다닌다면, 호텔들에서 정보를 빼감으로써 표적의 행선지와 여행 패턴을 분석할 수 있게 되니까요. 호텔의 와이파이망을 침해해 네트워크에 침투하는 데 성공할 경우 표적의 인터넷 사용 현황도 파악할 수 있습니다.”
페이머스스패로우의 주된 침투 전략은 인터넷에 연결된 취약한 애플리케이션을 익스플로잇 하는 것이라고 이셋은 설명한다. “그러다가 올해 초부터 시끌시끌해진 프록시로그온 취약점을 익스플로잇 한 것으로 보입니다. 프록시로그온은 마이크로소프트 익스체인지에서 발견된 취약점으로, 지금까지 수많은 APT 단체들이 공략해 온 것이기도 합니다. 그 외에도 페이머스스패로우는 셰어포인트(Sharepoint)와 오라클 오페라(Oracle Opera)를 자주 익스플로잇 하기도 했습니다.”
피해자의 서버 침해에 성공한 후 페이머스스패로우는 다양한 해킹 도구들을 심는 것으로 분석됐다. 여기에는 미미캐츠(Mimikatz)의 변종, 넷바이오스(NetBIOS) 스캐너인 엔비티스캔(Nbtscan), 디스크에 프록덤프(ProcDump)를 설치하는 유틸리티 등이 있다. 하지만 이셋에 눈에 띈 건 스페로우도어였다. 일종의 백도어로, 페이머스스패로우 외에는 다른 어떤 해킹 단체들도 이를 사용하지 않는다. 즉, 페이머스스패로우만의 독특한 공격 도구라는 뜻이다.
“스패로우도어는 침해된 기계들을 거의 완전히 장악할 수 있게 해 줍니다. 공격자들이 임의의 명령어를 실행할 수 있게 해 주고, 아무 파일이나 빼돌릴 수 있게도 해 줍니다. 현재까지는 다크웹에서 판매되는 것도 아니고, 다른 공격자들이 먼저 사용한 것이 발견되지도 않았습니다. 아직까지는 ‘스패로우도어 = 페이머스스패로우’라는 공식이 성립합니다.”
아직까지는 스패로우도어가 다른 어떤 단체에 종속되어 있는 것처럼 보이지는 않는다. 즉 독자적으로 움직이는 조직이라는 것인데, 스파클링고블린(SparklingGoblin)이나 DRB컨트롤(DRBControl)과 같은 기존 APT 그룹들과의 연결 고리가 희미하게나마 발견되는 중이라고 한다. 따라서 아직 이 부분에 대해서는 결론을 확정적으로 내리기가 어려운 상황이다. “공격 도구 일부를 공유하거나 피해자에 대한 접근 통로를 서로 나누는 것 정도로 보입니다. 하지만 결국에는 별개의 그룹일 가능성이 높아 보입니다.”
이셋은 “이러한 일이 빈번하게 벌어지기 때문이라도 인터넷을 통해 직접 연결되는 애플리케이션들에 대한 모니터링과 관리가 철저히 이뤄져야 한다”고 권고한다. “이상 현상이 발견될 때 즉각적으로 파악해 패치를 해야 하고, 패치가 불가능한 상황이라면 인터넷으로부터 분리해 내기라도 해야 합니다. 인터넷에 연결된 자산은 잠정적인 불안요소로서 인식하고 있어야 합니다.”
3줄 요약
1. 호텔만 노리는 독특한 APT 그룹 ‘페이머스스패로우’가 발견됨.
2. 2019년부터 활동해 온 것으로 보이며, 호텔 외의 일부 조직들에서도 피해가 발견되는 중.
3. 페이머스스패로우만 사용하는 독특한 백도어인 스패로우도어도 같이 발견되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 새로운 사이버 해킹 단체가 적발됐다. 이름은 페이머스스패로우(FamousSparrow)라고 하며, 전 세계 호텔, 정부 기관, 사기업체들을 공격하고 있다고 한다. 페이머스스패로우의 주요 공격 방식은 현재로서 프록시로그온(ProxyLogon) 취약점을 익스플로잇 하고 나서 스패로우도어(SparrowDoor)라는 백도어를 심는 것이라고 한다.
[이미지 = utoimage]
페이머스스패로우를 발견하고 추적한 건 보안 업체 이셋(ESET)이다. 이셋이 여태까지 알아낸 바에 의하면 페이머스스패로우는 최소 2019년부터 활동해 왔다고 한다. 당시 페이머스스패로우는 아프리카의 한 조직을 침해했었고, 이를 이셋의 마티우 파오우(Matthieu Faou)와 타신 빈 타지(Tahseen Bin Taj)가 발견했다고 한다. “그리고 올해 3월 3일부터는 프록시로그온 취약점을 익스플로잇 하기 시작했습니다.” 프록시로그온은 마이크로소프트의 익스체인지(Exchange) 서버에서 발견된 취약점이다.
페이머스스패로우의 주요 표적인 호텔인 것으로 보인다. 하지만 그것에 국한되어 있지는 않다. 정부 기관들과 국제 기구, 엔지니어링 업체와 로펌들에서 피해가 발견되고 있다. 페이머스스패로우의 흔적이 발견된 나라는 브라질, 부르키나파소, 남아프리카공화국, 캐나다, 이스라엘, 프랑스, 리투아니아, 과테말라, 사우디아라비아, 대만, 태국, 영국이다.
“멀웨어의 측면에서 보자면 페이머스스패로우는 2019년 당시에나 지금에나 크게 변한 것이 없습니다. 하지만 공격의 방향성이랄까, 전략이라는 측면에서는 중요한 변화가 있었습니다. 2020년부터 호텔을 집중적으로 공략하기 시작했거든요. 정부 기관을 노리는 곳은 많은데 호텔을 집중적으로 노리는 APT 단체들은 그리 많지 않죠. 페이머스스패로우가 꽤나 독특한 행보를 보이고 있다고 봐도 됩니다.”
이셋이 파악하는 페이머스스패로우의 주요 공격 목적은 ‘에스피오나지’ 즉 사이버 정찰 혹은 염탐이다. “호텔을 공략하는 것과 에스피오나지에는 연관성이 있습니다. 공격자들의 표적이 될 만한 인물들이 출장을 자주 다닌다면, 호텔들에서 정보를 빼감으로써 표적의 행선지와 여행 패턴을 분석할 수 있게 되니까요. 호텔의 와이파이망을 침해해 네트워크에 침투하는 데 성공할 경우 표적의 인터넷 사용 현황도 파악할 수 있습니다.”
페이머스스패로우의 주된 침투 전략은 인터넷에 연결된 취약한 애플리케이션을 익스플로잇 하는 것이라고 이셋은 설명한다. “그러다가 올해 초부터 시끌시끌해진 프록시로그온 취약점을 익스플로잇 한 것으로 보입니다. 프록시로그온은 마이크로소프트 익스체인지에서 발견된 취약점으로, 지금까지 수많은 APT 단체들이 공략해 온 것이기도 합니다. 그 외에도 페이머스스패로우는 셰어포인트(Sharepoint)와 오라클 오페라(Oracle Opera)를 자주 익스플로잇 하기도 했습니다.”
피해자의 서버 침해에 성공한 후 페이머스스패로우는 다양한 해킹 도구들을 심는 것으로 분석됐다. 여기에는 미미캐츠(Mimikatz)의 변종, 넷바이오스(NetBIOS) 스캐너인 엔비티스캔(Nbtscan), 디스크에 프록덤프(ProcDump)를 설치하는 유틸리티 등이 있다. 하지만 이셋에 눈에 띈 건 스페로우도어였다. 일종의 백도어로, 페이머스스패로우 외에는 다른 어떤 해킹 단체들도 이를 사용하지 않는다. 즉, 페이머스스패로우만의 독특한 공격 도구라는 뜻이다.
“스패로우도어는 침해된 기계들을 거의 완전히 장악할 수 있게 해 줍니다. 공격자들이 임의의 명령어를 실행할 수 있게 해 주고, 아무 파일이나 빼돌릴 수 있게도 해 줍니다. 현재까지는 다크웹에서 판매되는 것도 아니고, 다른 공격자들이 먼저 사용한 것이 발견되지도 않았습니다. 아직까지는 ‘스패로우도어 = 페이머스스패로우’라는 공식이 성립합니다.”
아직까지는 스패로우도어가 다른 어떤 단체에 종속되어 있는 것처럼 보이지는 않는다. 즉 독자적으로 움직이는 조직이라는 것인데, 스파클링고블린(SparklingGoblin)이나 DRB컨트롤(DRBControl)과 같은 기존 APT 그룹들과의 연결 고리가 희미하게나마 발견되는 중이라고 한다. 따라서 아직 이 부분에 대해서는 결론을 확정적으로 내리기가 어려운 상황이다. “공격 도구 일부를 공유하거나 피해자에 대한 접근 통로를 서로 나누는 것 정도로 보입니다. 하지만 결국에는 별개의 그룹일 가능성이 높아 보입니다.”
이셋은 “이러한 일이 빈번하게 벌어지기 때문이라도 인터넷을 통해 직접 연결되는 애플리케이션들에 대한 모니터링과 관리가 철저히 이뤄져야 한다”고 권고한다. “이상 현상이 발견될 때 즉각적으로 파악해 패치를 해야 하고, 패치가 불가능한 상황이라면 인터넷으로부터 분리해 내기라도 해야 합니다. 인터넷에 연결된 자산은 잠정적인 불안요소로서 인식하고 있어야 합니다.”
3줄 요약
1. 호텔만 노리는 독특한 APT 그룹 ‘페이머스스패로우’가 발견됨.
2. 2019년부터 활동해 온 것으로 보이며, 호텔 외의 일부 조직들에서도 피해가 발견되는 중.
3. 페이머스스패로우만 사용하는 독특한 백도어인 스패로우도어도 같이 발견되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
================================================================================
