Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) SparrowDoor Bagdørsvarianter

SparrowDoor Bagdørsvarianter

Med Mezo i Advanced Persistent Threat (APT), Bagdøre
Oversæt til:
Dansk

Den kinesiske cyberspionagegruppe kendt som FamousSparrow er blevet kædet sammen med nye angreb på en amerikansk handelsgruppe og et mexicansk forskningsinstitut, der har implementeret sin berygtede SparrowDoor- bagdør sammen med ShadowPad- malwaren. Aktiviteten, der blev observeret i juli 2024, markerer første gang, gruppen har udnyttet ShadowPad, et værktøj, der ofte bruges af kinesiske statssponsorerede aktører.

Evolutionen af SparrowDoor: En mere sofistikeret trussel

FamousSparrow har introduceret to nye varianter af sin SparrowDoor-bagdør, hvoraf den ene er modulopbygget. Disse versioner repræsenterer et betydeligt spring i funktionalitet, der omfatter parallel udførelse af kommandoer for at øge effektiviteten.

Dette markerer en større opgradering fra tidligere versioner. Det giver malwaren mulighed for at udføre kommandoer såsom filoperationer og interaktive shell-sessioner uden at stoppe igangværende opgaver.

En historie om spionage: FamousSparrows bemærkelsesværdige angreb

FamousSparrow , som oprindeligt blev afsløret i september 2021, er blevet forbundet med cyberangreb på hoteller, regeringer, ingeniørfirmaer og advokatkontorer. Gruppen har tidligere opereret selvstændigt med SparrowDoor som sit eksklusive implantat.

Over tid har forskere observeret taktiske ligheder mellem FamousSparrow og andre kinesiske hackergrupper som Earth Estries, GhostEmperor og Salt Typhoon , sidstnævnte kendt for at målrette telekommunikationssektoren. På trods af disse overlapninger forbliver FamousSparrow klassificeret som en særskilt trusselgruppe med unikke karakteristika.

Angrebskæden: Hvordan bruddet udfoldede sig

Angrebet begynder med, at FamousSparrow installerer en web-shell på en sårbar IIS-server. Mens den nøjagtige metode til at opnå indledende adgang forbliver ukendt, kørte begge berørte organisationer forældede versioner af Windows og Microsoft Exchange Server, hvilket gjorde dem til primære mål.

Når web-skallen er på plads, fungerer den som en startplads for et eksternt batch-script. Dette script udfører en Base64-kodet .NET web-shell, der i sidste ende implementerer både SparrowDoor og ShadowPad på det kompromitterede system.

Sådan fungerer SparrowDoor: Et dybt dyk ned i dens muligheder

En af de nye SparrowDoor-varianter deler ligheder med Crowdoor, en tidligere dokumenteret malware. Begge versioner introducerer dog væsentlige forbedringer, herunder:

  • Parallel opgaveudførelse - Bagdøren kan køre flere kommandoer på én gang, hvilket forbedrer ydeevnen.
  • Dynamisk kommandohåndtering – Kommandoer udløser en ny tråd, som etablerer en separat forbindelse til Command-and-Control (C&C) serveren.
  • Offersporing – Hver forbindelse inkluderer et unikt offer-id og kommando-id, der hjælper C&C-serveren med at håndtere igangværende opgaver effektivt.

SparrowDoor er udstyret med en række funktioner, der forbedrer dens funktionalitet. Det kan etablere en proxy, give mulighed for skjult kommunikation og initiere interaktive shell-sessioner for at muliggøre real-time kommandoudførelse. Bagdøren er også i stand til at håndtere forskellige filoperationer, herunder læsning, skrivning og ændring af filer, mens den samtidig opregner filsystemet for at kortlægge tilgængelige mapper og data. Derudover indsamler den detaljerede værtsoplysninger, hvilket giver angribere indsigt i det kompromitterede system. Hvis det er nødvendigt, kan SparrowDoor endda fjerne sig selv helt, hvilket sikrer, at spor af dens tilstedeværelse slettes.

En modulær tilgang: SparrowDoors forbedrede version

Den anden, mere avancerede SparrowDoor-variant introducerer et modulært, plugin-baseret design, der udvider dets muligheder gennem ni specialiserede moduler:

  • Cmd – Udfør systemkommandoer
  • CFile – Administrer filhandlinger
  • CKeylogPlug – Log tastetryk
  • CSocket – Etabler en TCP-proxy
  • CShell – Start interaktive shell-sessioner
  • CTransf – Overfør filer mellem den inficerede vært og C&C-serveren
  • CRdp – Tag skærmbilleder
  • CPro – List og afslut kørende processer
  • CFileMoniter – Spor filsystemændringer i specifikke mapper

FamousSparrow: Stadig aktiv, stadig under udvikling

Denne seneste bølge af aktivitet bekræfter, at FamousSparrow ikke kun stadig er aktiv, men også investerer i den løbende udvikling af sin SparrowDoor-bagdør. Med introduktionen af modulære muligheder og adoptionen af ShadowPad udvikler gruppen sig tydeligt, hvilket udgør en endnu mere betydelig cybersikkerhedstrussel fremadrettet.

Trending

Mest sete

Indlæser...