Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Варианти на задна врата на SparrowDoor

Варианти на задна врата на SparrowDoor

До Mezo през Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:
български език

Китайската група за кибершпионаж, известна като FamousSparrow, е свързана с нови атаки срещу американска търговска група и мексикански изследователски институт, внедрявайки своята прословута задна вратичка SparrowDoor заедно със зловреден софтуер ShadowPad . Дейността, наблюдавана през юли 2024 г., бележи първия път, когато групата е използвала ShadowPad, инструмент, често използван от китайски държавно спонсорирани актьори.

Еволюцията на SparrowDoor: По-сложна заплаха

FamousSparrow представи два нови варианта на своя бекдор SparrowDoor, единият от които е модулен. Тези версии представляват значителен скок във функционалността, включвайки паралелно изпълнение на команди за подобряване на ефективността.

Това бележи голямо надграждане от по-ранни версии. Той позволява на злонамерения софтуер да изпълнява команди като файлови операции и интерактивни сесии на обвивката, без да забавя текущите задачи.

История на шпионажа: Забележителните атаки на FamousSparrow

Първоначално разкрит през септември 2021 г., FamousSparrow е свързан с кибератаки срещу хотели, правителства, инженерни фирми и адвокатски кантори. Групата преди това е работила независимо, използвайки SparrowDoor като свой изключителен имплант.

С течение на времето изследователите са забелязали тактически прилики между FamousSparrow и други китайски хакерски групи като Earth Estries, GhostEmperor и Salt Typhoon , като последната е известна с това, че е насочена към телекомуникационния сектор. Въпреки това, въпреки тези припокривания, FamousSparrow остава класифициран като отделна група заплахи с уникални характеристики.

Веригата на атаката: Как се разви пробивът

Атаката започва с FamousSparrow, който внедрява уеб обвивка на уязвим IIS сървър. Докато точният метод за получаване на първоначален достъп остава неизвестен, и двете засегнати организации са използвали остарели версии на Windows и Microsoft Exchange Server, което ги прави основни цели.

След като уеб обвивката е поставена, тя служи като стартова площадка за отдалечен пакетен скрипт. Този скрипт изпълнява Base64-кодирана .NET уеб обвивка, като в крайна сметка внедрява SparrowDoor и ShadowPad в компрометираната система.

Как работи SparrowDoor: Дълбоко потапяне в неговите възможности

Един от новите варианти на SparrowDoor споделя прилики с Crowdoor, документиран преди това зловреден софтуер. И двете версии обаче въвеждат значителни подобрения, включително:

  • Паралелно изпълнение на задачи – Задната врата може да изпълнява няколко команди наведнъж, подобрявайки производителността.
  • Динамично обработване на команди – Командите задействат нова нишка, която установява отделна връзка със сървъра за командване и управление (C&C).
  • Проследяване на жертви – Всяка връзка включва уникален идентификатор на жертва и идентификатор на команда, което помага на C&C сървъра да управлява ефективно текущите задачи.

SparrowDoor е оборудван с набор от възможности, които подобряват неговата функционалност. Той може да установи прокси, да позволи скрита комуникация и да инициира интерактивни сесии на обвивката, за да даде възможност за изпълнение на команди в реално време. Задната вратичка също така може да обработва различни файлови операции, включително четене, писане и модифициране на файлове, като същевременно изброява файловата система, за да картографира наличните директории и данни. Освен това, той събира подробна информация за хоста, предоставяйки на нападателите представа за компрометираната система. Ако е необходимо, SparrowDoor може дори да се премахне изцяло, като гарантира, че следите от присъствието му са изтрити.

Модулен подход: Подобрената версия на SparrowDoor

Вторият, по-усъвършенстван вариант на SparrowDoor въвежда модулен дизайн, базиран на плъгини, разширявайки възможностите си чрез девет специализирани модула:

  • Cmd – Изпълнява системни команди
  • CFile – Управление на файлови операции
  • CKeylogPlug – Регистрирайте натиснатите клавиши
  • CSocket – Създаване на TCP прокси
  • CShell – Инициирайте интерактивни сесии на обвивката
  • CTransf – Прехвърляне на файлове между заразения хост и C&C сървъра
  • CRdp – Правете екранни снимки
  • CPro – Изброяване и прекратяване на работещи процеси
  • CFileMoniter – Проследяване на промените във файловата система в определени директории

FamousSparrow: все още активен, все още се развива

Тази скорошна вълна от активност потвърждава, че FamousSparrow не само все още е активен, но и инвестира в непрекъснатото развитие на своя бекдор SparrowDoor. С въвеждането на модулни възможности и приемането на ShadowPad, групата очевидно се развива, представлявайки още по-значима заплаха за киберсигурността напред.

Тенденция

Mail Cloud Server Имейл измама

Фишинг, Спам
Интернет е пълен с измамни схеми, предназначени да експлоатират нищо неподозиращите потребители, поради което е изключително важно да бъдете внимателни, докато сърфирате и обработвате имейли. Фишинг атаките, като имейл измамата с Mail Cloud Server, са сред най-честите заплахи, използвайки тактики на социално инженерство за кражба на чувствителна информация. Като разбират как работи тази измама,...

CVE-2025-24201 Уязвимост

Уязвимост
Apple обяви пускането на критична актуализация на сигурността за коригиране на уязвимост от нулев ден, идентифицирана като CVE-2025-24201. Този пропуск, който е бил активно използван при „изключително сложни“ атаки, засяга двигателя на уеб браузъра WebKit. Проблемът включва уязвимост при запис извън границите, която може да позволи на нападателите да заобиколят пясъчника на уеб съдържанието,...

Най-гледан

Зареждане...