호텔을 집중적으로 노리는 독특한 APT 단체, 백도어도 독특해

2021-09-24 12:39
  • 카카오톡
  • url
아직 정체가 밝혀지지 않은 APT 단체인 페이머스스패로우에 대한 분석 내용이 일부 공개됐다. 2019년부터 활동해 왔으며, 최근에는 호텔을 겨냥해 프록시로그온 취약점을 익스플로잇한다는 것이다. 아직까지는 이들의 목적이 에스피오나지인 것으로 보인다.

[보안뉴스 문가용 기자] 새로운 사이버 해킹 단체가 적발됐다. 이름은 페이머스스패로우(FamousSparrow)라고 하며, 전 세계 호텔, 정부 기관, 사기업체들을 공격하고 있다고 한다. 페이머스스패로우의 주요 공격 방식은 현재로서 프록시로그온(ProxyLogon) 취약점을 익스플로잇 하고 나서 스패로우도어(SparrowDoor)라는 백도어를 심는 것이라고 한다.


[이미지 = utoimage]

페이머스스패로우를 발견하고 추적한 건 보안 업체 이셋(ESET)이다. 이셋이 여태까지 알아낸 바에 의하면 페이머스스패로우는 최소 2019년부터 활동해 왔다고 한다. 당시 페이머스스패로우는 아프리카의 한 조직을 침해했었고, 이를 이셋의 마티우 파오우(Matthieu Faou)와 타신 빈 타지(Tahseen Bin Taj)가 발견했다고 한다. “그리고 올해 3월 3일부터는 프록시로그온 취약점을 익스플로잇 하기 시작했습니다.” 프록시로그온은 마이크로소프트의 익스체인지(Exchange) 서버에서 발견된 취약점이다.

페이머스스패로우의 주요 표적인 호텔인 것으로 보인다. 하지만 그것에 국한되어 있지는 않다. 정부 기관들과 국제 기구, 엔지니어링 업체와 로펌들에서 피해가 발견되고 있다. 페이머스스패로우의 흔적이 발견된 나라는 브라질, 부르키나파소, 남아프리카공화국, 캐나다, 이스라엘, 프랑스, 리투아니아, 과테말라, 사우디아라비아, 대만, 태국, 영국이다.

“멀웨어의 측면에서 보자면 페이머스스패로우는 2019년 당시에나 지금에나 크게 변한 것이 없습니다. 하지만 공격의 방향성이랄까, 전략이라는 측면에서는 중요한 변화가 있었습니다. 2020년부터 호텔을 집중적으로 공략하기 시작했거든요. 정부 기관을 노리는 곳은 많은데 호텔을 집중적으로 노리는 APT 단체들은 그리 많지 않죠. 페이머스스패로우가 꽤나 독특한 행보를 보이고 있다고 봐도 됩니다.”

이셋이 파악하는 페이머스스패로우의 주요 공격 목적은 ‘에스피오나지’ 즉 사이버 정찰 혹은 염탐이다. “호텔을 공략하는 것과 에스피오나지에는 연관성이 있습니다. 공격자들의 표적이 될 만한 인물들이 출장을 자주 다닌다면, 호텔들에서 정보를 빼감으로써 표적의 행선지와 여행 패턴을 분석할 수 있게 되니까요. 호텔의 와이파이망을 침해해 네트워크에 침투하는 데 성공할 경우 표적의 인터넷 사용 현황도 파악할 수 있습니다.”

페이머스스패로우의 주된 침투 전략은 인터넷에 연결된 취약한 애플리케이션을 익스플로잇 하는 것이라고 이셋은 설명한다. “그러다가 올해 초부터 시끌시끌해진 프록시로그온 취약점을 익스플로잇 한 것으로 보입니다. 프록시로그온은 마이크로소프트 익스체인지에서 발견된 취약점으로, 지금까지 수많은 APT 단체들이 공략해 온 것이기도 합니다. 그 외에도 페이머스스패로우는 셰어포인트(Sharepoint)와 오라클 오페라(Oracle Opera)를 자주 익스플로잇 하기도 했습니다.”

피해자의 서버 침해에 성공한 후 페이머스스패로우는 다양한 해킹 도구들을 심는 것으로 분석됐다. 여기에는 미미캐츠(Mimikatz)의 변종, 넷바이오스(NetBIOS) 스캐너인 엔비티스캔(Nbtscan), 디스크에 프록덤프(ProcDump)를 설치하는 유틸리티 등이 있다. 하지만 이셋에 눈에 띈 건 스페로우도어였다. 일종의 백도어로, 페이머스스패로우 외에는 다른 어떤 해킹 단체들도 이를 사용하지 않는다. 즉, 페이머스스패로우만의 독특한 공격 도구라는 뜻이다.

“스패로우도어는 침해된 기계들을 거의 완전히 장악할 수 있게 해 줍니다. 공격자들이 임의의 명령어를 실행할 수 있게 해 주고, 아무 파일이나 빼돌릴 수 있게도 해 줍니다. 현재까지는 다크웹에서 판매되는 것도 아니고, 다른 공격자들이 먼저 사용한 것이 발견되지도 않았습니다. 아직까지는 ‘스패로우도어 = 페이머스스패로우’라는 공식이 성립합니다.”

아직까지는 스패로우도어가 다른 어떤 단체에 종속되어 있는 것처럼 보이지는 않는다. 즉 독자적으로 움직이는 조직이라는 것인데, 스파클링고블린(SparklingGoblin)이나 DRB컨트롤(DRBControl)과 같은 기존 APT 그룹들과의 연결 고리가 희미하게나마 발견되는 중이라고 한다. 따라서 아직 이 부분에 대해서는 결론을 확정적으로 내리기가 어려운 상황이다. “공격 도구 일부를 공유하거나 피해자에 대한 접근 통로를 서로 나누는 것 정도로 보입니다. 하지만 결국에는 별개의 그룹일 가능성이 높아 보입니다.”

이셋은 “이러한 일이 빈번하게 벌어지기 때문이라도 인터넷을 통해 직접 연결되는 애플리케이션들에 대한 모니터링과 관리가 철저히 이뤄져야 한다”고 권고한다. “이상 현상이 발견될 때 즉각적으로 파악해 패치를 해야 하고, 패치가 불가능한 상황이라면 인터넷으로부터 분리해 내기라도 해야 합니다. 인터넷에 연결된 자산은 잠정적인 불안요소로서 인식하고 있어야 합니다.”

3줄 요약
1. 호텔만 노리는 독특한 APT 그룹 ‘페이머스스패로우’가 발견됨.
2. 2019년부터 활동해 온 것으로 보이며, 호텔 외의 일부 조직들에서도 피해가 발견되는 중.
3. 페이머스스패로우만 사용하는 독특한 백도어인 스패로우도어도 같이 발견되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 유니뷰코리아

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 비전정보통신

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • 엔토스정보통신

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 씨엠아이텍

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 아이쓰리시스템(주)

    • (주)동양유니텍

    • (주)투윈스컴

    • A3시큐리티

    • CVT

    • AIS테크놀러지

    • (주)씨유박스

    • 이오씨

    • (주)에펠

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 보쉬빌딩테크놀러지

    • 주식회사 비앤에스

    • (주)디지탈센스

    • 티에스아이솔루션
      출입 통제 솔루션

    • (주)넥스트림

    • 오피어(Ophir)

    • AhnLab

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • (주)에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • (주)모스타

    • 수퍼락
      출입통제시스템

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)네이즈

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 글로넥스
      카드리더 / 데드볼트

    • (주)이스트컨트롤

    • 메트로게이트
      시큐리티 게이트

    • 이후커뮤니케이션

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • (주)유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기