영국 정부, 스파이 멀웨어 SparrowDoor의 새로운 변종 발견

지난해 영국 국립사이버보안센터(NCSC)는 공개되지 않은 영국 네트워크에서 스파이 악성코드인 스패로우도어(SparrowDoor) 변종을 발견했다. 오늘 변종에 대한 분석이 발표되었으며, 이는 이제 무엇보다도 클립보드에서 데이터를 훔칠 수 있습니다. 또한 조직이 자체 네트워크 내에서 악성 코드를 탐지할 수 있도록 하는 침해 지표와 Yara 규칙이 제공되었습니다.

SparrowDoor의 첫 번째 버전은 바이러스 백신 회사인 ESET에 의해 발견되었으며 정부는 물론 전 세계 호텔을 대상으로 사용되었다고 합니다. 공격자는 Microsoft Exchange, Microsoft SharePoint 및 Oracle Opera의 취약점을 이용하여 조직에 침입했습니다. 영향을 받은 조직은 캐나다, 이스라엘, 프랑스, ​​사우디아라비아, 대만, 태국, 영국 등이었습니다. ESET은 공격자의 정확한 대상을 공개하지 않았습니다.

영국 NCSC는 지난해 영국 네트워크에서 SparrowDoor의 변종을 발견했다고 밝혔습니다. 이 버전은 클립보드에서 데이터를 훔칠 수 있으며 하드코딩된 목록을 통해 특정 바이러스 백신 소프트웨어가 실행 중인지 확인할 수 있습니다. 이 변종은 네트워크 연결을 설정할 때 사용자 계정 토큰을 모방할 수도 있습니다. 예를 들어 SYSTEM 계정으로 네트워크 통신을 수행하는 경우 이러한 "다운그레이드"는 눈에 띄지 않게 수행될 수 있습니다.

또 다른 새로운 기능은 다양한 콘텐츠를 납치하는 것입니다. Windows API 기능. 악성코드가 언제 'API 후킹'과 '토큰 위장'을 사용하는지 확실하지 않지만, 영국 NCSC에 따르면 공격자들은 의식적인 운영 보안 결정을 내리고 있다. 공격받은 네트워크나 악성코드 배후에 대한 자세한 정보는 제공되지 않습니다.