Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Variants de la porta posterior de SparrowDoor

Variants de la porta posterior de SparrowDoor

El Mezo el Amenaça persistent avançada (APT), Portes del darrere
Traduir a:
Català

El grup d'espionatge cibernètic xinès conegut com FamousSparrow s'ha relacionat amb nous atacs contra un grup comercial nord-americà i un institut d'investigació mexicà, desplegant la seva coneguda porta del darrere SparrowDoor juntament amb el programari maliciós ShadowPad . L'activitat, observada el juliol de 2024, és la primera vegada que el grup utilitza ShadowPad, una eina que utilitzen freqüentment els actors patrocinats per l'estat xinesos.

L’evolució de SparrowDoor: una amenaça més sofisticada

FamousSparrow ha introduït dues noves variants de la seva porta posterior SparrowDoor, una de les quals és modular. Aquestes versions representen un salt important en la funcionalitat, incorporant l'execució paral·lela d'ordres per millorar l'eficiència.

Això suposa una actualització important de les versions anteriors. Permet que el programari maliciós executi ordres com ara operacions de fitxers i sessions d'intèrpret d'ordres interactius sense aturar les tasques en curs.

Una història d’espionatge: els atacs notables de FamousSparrow

Inicialment descobert el setembre de 2021, FamousSparrow s'ha relacionat amb atacs cibernètics a hotels, governs, empreses d'enginyeria i despatxos d'advocats. El grup ha operat prèviament de manera independent, utilitzant SparrowDoor com a implant exclusiu.

Amb el temps, els investigadors han observat similituds tàctiques entre FamousSparrow i altres grups de pirateria xinesa com Earth Estries, GhostEmperor i Salt Typhoon , aquest últim conegut per dirigir-se al sector de les telecomunicacions. Tanmateix, malgrat aquests solapaments, FamousSparrow continua classificat com un grup d'amenaça diferent amb característiques úniques.

La cadena d’atac: com es va desenvolupar la bretxa

L'atac comença amb FamousSparrow desplegant un shell web en un servidor IIS vulnerable. Tot i que es desconeix el mètode exacte per obtenir l'accés inicial, ambdues organitzacions afectades estaven executant versions obsoletes de Windows i Microsoft Exchange Server, cosa que els converteix en objectius principals.

Una vegada que l'intèrpret d'ordres web està al seu lloc, serveix com a plataforma de llançament per a un script per lots remot. Aquest script executa un intèrpret d'ordres web .NET codificat en Base64 i, finalment, desplega SparrowDoor i ShadowPad al sistema compromès.

Com funciona SparrowDoor: una immersió profunda en les seves capacitats

Una de les noves variants de SparrowDoor comparteix similituds amb Crowdoor, un programari maliciós documentat anteriorment. Tanmateix, ambdues versions introdueixen millores substancials, com ara:

  • Execució de tasques paral·leles : la porta posterior pot executar diverses ordres alhora, millorant el rendiment.
  • Gestió dinàmica d'ordres : les ordres desencadenen un nou fil, que estableix una connexió independent amb el servidor d'ordres i control (C&C).
  • Seguiment de víctimes : cada connexió inclou un identificador de víctima i un identificador d'ordres únics, que ajuden el servidor C&C a gestionar les tasques en curs de manera eficient.

SparrowDoor ve equipat amb una gamma de capacitats que milloren la seva funcionalitat. Pot establir un servidor intermediari, permetre una comunicació encoberta i iniciar sessions d'intèrpret d'ordres interactives per permetre l'execució d'ordres en temps real. La porta posterior també és capaç de gestionar diverses operacions de fitxers, com ara llegir, escriure i modificar fitxers, alhora que enumera el sistema de fitxers per mapejar els directoris i les dades disponibles. A més, recopila informació detallada de l'amfitrió, proporcionant als atacants informació sobre el sistema compromès. Si cal, SparrowDoor pot fins i tot eliminar-se per complet, assegurant que s'esborrin els rastres de la seva presència.

Un enfocament modular: la versió millorada de SparrowDoor

La segona variant SparrowDoor, més avançada, introdueix un disseny modular basat en complements, ampliant les seves capacitats a través de nou mòduls especialitzats:

  • Cmd: executa les ordres del sistema
  • CFfile: gestiona les operacions dels fitxers
  • CKeylogPlug: registre les pulsacions de tecles
  • CSocket: estableix un servidor intermediari TCP
  • CShell: inicieu sessions d'intèrpret d'ordres interactives
  • CTransf: transfereix fitxers entre l'amfitrió infectat i el servidor C&C
  • CRdp - Captura de captures de pantalla
  • CPro: llista i finalitza els processos en execució
  • CFileMoniter: feu un seguiment dels canvis del sistema de fitxers en directoris específics

FamousSparrow: encara actiu, encara en evolució

Aquesta recent onada d'activitats confirma que FamousSparrow no només segueix actiu, sinó que també està invertint en el desenvolupament continu de la seva porta del darrere SparrowDoor. Amb la introducció de capacitats modulars i l'adopció de ShadowPad, el grup està clarament evolucionant, i suposa una amenaça de ciberseguretat encara més important per avançar.

Tendència

Més vist

Carregant...