분석 정보/악성코드 분석 정보

전 세계 호텔을 주 타겟으로 공격하는 FamousSparrow 그룹

알 수 없는 사용자 2021. 9. 30. 17:31

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다.

 

해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다.

 

아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다.
2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow

 

'SparrowDoor' 악성코드는 보안 프로그램으로 위장한 압축 파일로 시작되며 [1]과 같은 파일들이 압축되어 있다.

 

[표 1] 압축 파일에 포함된 파일 및 동작

 

Analysis

정상 파일인 'indexer.exe'는 실행 시 우선적으로 동일 경로에 있는 정상 'K7UI.dll'을 로드한다. 이러한 점을 악용하여 사용자가 유입된 압축 파일을 해제하고, 내부에 존재하는 실행 파일인 'indexer.exe'을 실행하게 되면 함께 압축 해제되어 동일 경로에 있는 악성 'K7UI.dll'’이 로드된다.

 

[그림 1] 정상 K7UI.dll 파일 로드 (상) / 악성 K7UI.dll 파일 로드 (하)

 

악성 'K7UI.dll' 파일이 로드되면 정상 'indexer.exe'에서 프로그램의 메인 함수 부분을 악성 동작 수행이 시작되는 'K7UI.dll'의 코드로 이동하도록 수정한다.

 

[그림 2] indexer.exe 코드 패치

 

처음 'indexer.exe' 파일이 실행될 때 인자를 입력하여 실행할 수 있다. 해당 인자를 메모리에 저장한 후 악성 동작을 수행하는 'K7UI.dll' 코드로 이동하여 저장된 인자 값을 확인하고, 값에 따라 [1]과 같은 동작을 수행한다.

 

[표 2] 다운로드 된 파일 동작

 

'K7UI.dll'은 페이로드인 'SparrowDoor' 백도어를 암호화된 상태로 로드한 후 복호화하여 실행시킨다. 복호화된 페이로드는 추후에 연결할 공격자의 C&C 서버 정보 및 프록시 설정 정보, 사용자 PC에 등록할 서비스 정보가 저장 되어있다.

 

[그림 3] 복호화 된 페이로드에 저장된 정보

 

만약 'indexer.exe'를 실행할 때 인자가 없이 실행된다면 위의 [그림 3]의 정보를 참고하여 사용자가 PC를 재부팅 해도 실행될 수 있도록 "Windows Search Index"라는 이름의 서비스로 등록된다. 등록되는 서비스는 윈도우에서 검색 성능을 향상시키기 위한 기능을 하는 정상 서비스로 위장해 사용자가 감염되었다는 사실을 알아차리지 못하게 한다.

 

[그림 4] 서비스 등록

 

이후 공격자의 C&C 서버에 연결하고, 해당 서버가 연결되지 않는다면 프록시 서버와 연결하여 접속 우회를 시도한다. 하지만 현 시점에서 공격자의 서버가 닫혀 연결되지 않았다.

 

[그림 5] 공격자 C&C 서버 연결 패킷

 

만약 공격자의 서버와 연결되면 사용자의 PC에서 탈취한 시스템 정보를 암호화하여 전송한다. 전송된 데이터의 첫 4바이트는 "0x116256A1"로 해당 시점 이후부터 탈취한 사용자의 시스템 정보라는 구분을 하기 위한 고정 값이다.

 

[그림 6] 복호화된 구분 값 및 탈취 데이터

 

[표 3] 공격자의 C&C 서버로 전송되는 정보

 

최종적으로 공격자의 서버에서 명령을 받아 감염된 PC를 제어한다.

 

[표 4] 공격자 명령어 수행 동작

 

"SparrowDoor" 악성코드는 최근 호텔을 공격 타겟으로 하여 전 세계적으로 유포되고 있어 주의가 필요하다. 해당 악성코드는 암호화 된 파일을 이용해 정보 탈취 및 원격 PC 제어 동작을 수행하여 백신 프로그램 탐지를 우회하고, 정상 파일 및 서비스로 위장하여 사용자가 감염 사실을 알아차리지 못한다는 점에서 사용자는 보안에 신경 써서 감염을 예방할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화 면