متغيرات الباب الخلفي SparrowDoor

ارتبطت مجموعة التجسس الإلكتروني الصينية المعروفة باسم FamousSparrow بهجمات جديدة على مجموعة تجارية أمريكية ومعهد أبحاث مكسيكي، مستخدمةً برنامجها الخلفي SparrowDoor سيئ السمعة إلى جانب برمجية ShadowPad الخبيثة. ويمثل هذا النشاط، الذي رُصد في يوليو 2024، أول مرة تستغل فيها المجموعة برنامج ShadowPad، وهو أداة تُستخدم بكثرة من قِبل جهات صينية مدعومة من الدولة.

تطور SparrowDoor: تهديد أكثر تعقيدًا

أطلقت شركة FamousSparrow إصدارين جديدين من بابها الخلفي SparrowDoor، أحدهما معياري. يمثل هذان الإصداران نقلة نوعية في الأداء، إذ يتضمنان تنفيذًا متوازيًا للأوامر لتعزيز الكفاءة.

يُمثل هذا تحديثًا جذريًا عن الإصدارات السابقة. فهو يسمح للبرامج الضارة بتنفيذ أوامر مثل عمليات الملفات وجلسات shell التفاعلية دون تعطيل المهام الجارية.

تاريخ التجسس: هجمات FamousSparrow البارزة

تم الكشف عن مجموعة FamousSparrow لأول مرة في سبتمبر 2021، وارتبطت بهجمات إلكترونية على فنادق وحكومات وشركات هندسية ومكاتب محاماة. وكانت المجموعة تعمل سابقًا بشكل مستقل، مستخدمةً SparrowDoor كزرعة حصرية لها.

مع مرور الوقت، لاحظ الباحثون تشابهًا تكتيكيًا بين FamousSparrow ومجموعات القرصنة الصينية الأخرى مثل Earth Estries وGhostEmperor و Salt Typhoon ، وهذه الأخيرة معروفة باستهدافها قطاع الاتصالات. ومع ذلك، ورغم هذه التداخلات، لا تزال FamousSparrow تُصنف كمجموعة تهديد مميزة ذات خصائص فريدة.

سلسلة الهجوم: كيف انكشف الخرق

بدأ الهجوم بنشر FamousSparrow واجهة برمجة تطبيقات على خادم IIS ضعيف. وبينما لا تزال الطريقة الدقيقة للوصول الأولي غير معروفة، كانت كلتا المؤسستين المتأثرتين تستخدمان إصدارات قديمة من Windows وMicrosoft Exchange Server، مما جعلهما هدفين رئيسيين.

بمجرد تثبيت واجهة الويب، تُستخدَم كمنصة تشغيل لنص برمجي دفعي عن بُعد. يُنفِّذ هذا النص البرمجي واجهة ويب .NET مُرمَّزة بتنسيق Base64، وينشر في النهاية كلاً من SparrowDoor وShadowPad على النظام المُعرَّض للخطر.

كيف يعمل SparrowDoor: نظرة متعمقة على إمكانياته

يتشابه أحد إصدارات SparrowDoor الجديدة مع Crowdoor، وهو برنامج خبيث مُوثّق سابقًا. ومع ذلك، يُقدّم كلا الإصدارين تحسينات جوهرية، منها:

• تنفيذ المهام بالتوازي - يمكن للباب الخلفي تشغيل أوامر متعددة في وقت واحد، مما يحسن الأداء.
• معالجة الأوامر الديناميكية - تؤدي الأوامر إلى تشغيل مؤشر ترابط جديد، مما يؤدي إلى إنشاء اتصال منفصل بخادم الأوامر والتحكم (C&C).
• تعقب الضحية – يتضمن كل اتصال معرف ضحية فريدًا ومعرف أمر، مما يساعد خادم القيادة والتحكم على إدارة المهام الجارية بكفاءة.

يأتي SparrowDoor مزودًا بمجموعة من الإمكانيات التي تُحسّن وظائفه. فهو يُنشئ خادمًا وكيلًا، ويسمح بالاتصالات السرية، ويبدأ جلسات تفاعلية مع واجهة shell لتمكين تنفيذ الأوامر في الوقت الفعلي. كما أن هذا الباب الخلفي قادر على التعامل مع عمليات ملفات متنوعة، بما في ذلك قراءة الملفات وكتابتها وتعديلها، مع تعداد نظام الملفات في الوقت نفسه لتحديد المجلدات والبيانات المتاحة. بالإضافة إلى ذلك، يجمع SparrowDoor معلومات مُفصلة عن المُضيف، مُزودًا المهاجمين بمعلومات عن النظام المُخترق. وعند الحاجة، يُمكن لـ SparrowDoor حتى إزالة نفسه تمامًا، مما يضمن محو أي أثر لوجوده.

نهج معياري: النسخة المحسنة من SparrowDoor

يقدم الإصدار الثاني الأكثر تقدمًا من SparrowDoor تصميمًا معياريًا قائمًا على المكونات الإضافية، مما يوسع قدراته من خلال تسع وحدات متخصصة:

• Cmd – تنفيذ أوامر النظام
• CFile – إدارة عمليات الملفات
• CKeylogPlug – تسجيل ضغطات المفاتيح
• CSocket – إنشاء وكيل TCP
• CShell – بدء جلسات shell التفاعلية
• CTransf – نقل الملفات بين المضيف المصاب وخادم C&C
• CRdp – التقاط لقطات الشاشة
• CPro – سرد العمليات الجارية وإنهائها
• CFileMoniter – تتبع تغييرات نظام الملفات في أدلة محددة

FamousSparrow: لا يزال نشطًا، ولا يزال في طور التطور

تؤكد هذه الموجة الأخيرة من النشاط أن FamousSparrow لا تزال نشطة فحسب، بل تستثمر أيضًا في التطوير المستمر لبوابتها الخلفية SparrowDoor. مع إدخال قدرات معيارية واعتماد ShadowPad، تشهد المجموعة تطورًا واضحًا، مما يشكل تهديدًا أكبر للأمن السيبراني في المستقبل.