Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Varianty zadních dveří SparrowDoor

Varianty zadních dveří SparrowDoor

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:
Čeština

Čínská kybernetická špionážní skupina známá jako FamousSparrow byla spojována s čerstvými útoky na americkou obchodní skupinu a mexický výzkumný ústav, který nasadil své nechvalně známé zadní vrátka SparrowDoor vedle malwaru ShadowPad . Tato aktivita, pozorovaná v červenci 2024, je prvním případem, kdy skupina využila ShadowPad, nástroj často používaný čínskými státem sponzorovanými aktéry.

Evoluce SparrowDoor: Sofistikovanější hrozba

FamousSparrow představil dvě nové varianty svého backdooru SparrowDoor, z nichž jedna je modulární. Tyto verze představují významný skok ve funkčnosti, protože obsahují paralelní provádění příkazů pro zvýšení efektivity.

Jedná se o významný upgrade oproti dřívějším verzím. Umožňuje malwaru provádět příkazy, jako jsou operace se soubory a interaktivní relace shellu, aniž by zastavil probíhající úlohy.

Historie špionáže: Pozoruhodné útoky slavného Sparrowa

FamousSparrow , který byl původně odhalen v září 2021, byl spojován s kybernetickými útoky na hotely, vlády, inženýrské firmy a právní kanceláře. Skupina dříve fungovala nezávisle a používala SparrowDoor jako svůj exkluzivní implantát.

V průběhu času výzkumníci pozorovali taktické podobnosti mezi FamousSparrow a dalšími čínskými hackerskými skupinami, jako jsou Earth Estries, GhostEmperor a Salt Typhoon , přičemž poslední jmenovaná je známá tím, že se zaměřuje na telekomunikační sektor. Navzdory těmto překryvům však FamousSparrow zůstává klasifikován jako samostatná skupina hrozeb s jedinečnými vlastnostmi.

The Attack Chain: How the Breach Unfolded

Útok začíná tím, že FamousSparrow nasadí webový shell na zranitelný server IIS. I když přesný způsob získání počátečního přístupu zůstává neznámý, obě postižené organizace používaly zastaralé verze Windows a Microsoft Exchange Server, což z nich činilo hlavní cíle.

Jakmile je webový shell na svém místě, slouží jako spouštěcí panel pro vzdálený dávkový skript. Tento skript spustí webový shell .NET kódovaný Base64 a nakonec nasadí do napadeného systému jak SparrowDoor, tak ShadowPad.

Jak SparrowDoor funguje: Hluboký ponor do jeho schopností

Jedna z nových variant SparrowDoor sdílí podobnosti s Crowdoor, dříve zdokumentovaným malwarem. Obě verze však přinášejí podstatná vylepšení, včetně:

  • Paralelní provádění úloh – Backdoor může spouštět více příkazů najednou, což zlepšuje výkon.
  • Dynamické zpracování příkazů – Příkazy spustí nové vlákno, které vytvoří samostatné připojení k serveru Command-and-Control (C&C).
  • Sledování obětí – Každé připojení obsahuje jedinečné ID oběti a ID příkazu, což serveru C&C pomáhá efektivně řídit probíhající úkoly.

SparrowDoor je vybaven řadou funkcí, které zlepšují jeho funkčnost. Může vytvořit proxy, umožnit skrytou komunikaci a iniciovat interaktivní shellové relace, aby bylo možné provádět příkazy v reálném čase. Backdoor je také schopen zpracovávat různé operace se soubory, včetně čtení, zápisu a úprav souborů, a současně vyjmenovávat souborový systém, aby zmapoval dostupné adresáře a data. Kromě toho shromažďuje podrobné informace o hostiteli a poskytuje útočníkům informace o napadeném systému. V případě potřeby se SparrowDoor může dokonce zcela odstranit, čímž zajistí, že budou vymazány stopy jeho přítomnosti.

Modulární přístup: Vylepšená verze SparrowDoor

Druhá, pokročilejší varianta SparrowDoor představuje modulární design založený na zásuvných modulech a rozšiřuje své možnosti prostřednictvím devíti specializovaných modulů:

  • Cmd – Spouštění systémových příkazů
  • CFile – Správa operací se soubory
  • CKeylogPlug – Zaznamenávat stisknuté klávesy
  • CSocket – Vytvořte TCP proxy
  • CShell – Zahájení relací interaktivního prostředí
  • CTransf – Přenos souborů mezi infikovaným hostitelem a serverem C&C
  • CRdp – Pořizování snímků obrazovky
  • CPro – Seznam a ukončení běžících procesů
  • CFileMoniter – Sledujte změny systému souborů v konkrétních adresářích

FamousSparrow: Stále aktivní, stále se vyvíjí

Tato nedávná vlna aktivity potvrzuje, že FamousSparrow je nejen stále aktivní, ale také investuje do neustálého vývoje svých zadních vrátek SparrowDoor. Se zavedením modulárních schopností a přijetím ShadowPad se skupina jasně vyvíjí a představuje ještě významnější hrozbu pro kybernetickou bezpečnost.

Trendy

Mail Cloud Server E-mailový podvod

Phishing, Spam
Internet je plný podvodných schémat navržených ke zneužití nic netušících uživatelů, takže je nezbytné zůstat při procházení a vyřizování e-mailů obezřetní. Phishingové útoky, jako je e-mailový podvod Mail Cloud Server, patří mezi nejčastější hrozby, které využívají taktiku sociálního inženýrství ke krádeži citlivých informací. Díky pochopení toho, jak tento podvod funguje, mohou uživatelé...

Chyba zabezpečení CVE-2025-24201

Zranitelnost
Apple oznámil vydání kritické bezpečnostní aktualizace, která opravuje zranitelnost zero-day, označenou jako CVE-2025-24201. Tato chyba, která byla aktivně využívána při „extrémně sofistikovaných“ útocích, ovlivňuje jádro webového prohlížeče WebKit. Problém se týká zranitelnosti pro zápis mimo hranice, která by mohla útočníkům umožnit obejít sandbox Web Content a potenciálně ohrozit zabezpečení...

Nejvíce shlédnuto

Načítání...