Παραλλαγές SparrowDoor Backdoor
Η κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο, γνωστή ως FamousSparrow, έχει συνδεθεί με νέες επιθέσεις σε εμπορική ομάδα των ΗΠΑ και μεξικανικό ερευνητικό ινστιτούτο, αναπτύσσοντας το περιβόητο backdoor SparrowDoor μαζί με το κακόβουλο λογισμικό ShadowPad . Η δραστηριότητα, που παρατηρήθηκε τον Ιούλιο του 2024, σηματοδοτεί την πρώτη φορά που η ομάδα αξιοποίησε το ShadowPad, ένα εργαλείο που χρησιμοποιείται συχνά από κινεζικούς φορείς που υποστηρίζονται από το κράτος.
Πίνακας περιεχομένων
The Evolution of SparrowDoor: A More Sophisticated Threat
Το FamousSparrow παρουσίασε δύο νέες παραλλαγές της κερκόπορτας SparrowDoor, μία από τις οποίες είναι αρθρωτή. Αυτές οι εκδόσεις αντιπροσωπεύουν ένα σημαντικό άλμα στη λειτουργικότητα, ενσωματώνοντας την παράλληλη εκτέλεση εντολών για τη βελτίωση της αποτελεσματικότητας.
Αυτό σηματοδοτεί μια σημαντική αναβάθμιση από προηγούμενες εκδόσεις. Επιτρέπει στο κακόβουλο λογισμικό να εκτελεί εντολές όπως λειτουργίες αρχείων και διαδραστικές συνεδρίες φλοιού χωρίς να καθυστερεί τις συνεχείς εργασίες.
Μια ιστορία της κατασκοπείας: Οι αξιοσημείωτες επιθέσεις του FamousSparrow
Το FamousSparrow , που αποκαλύφθηκε αρχικά τον Σεπτέμβριο του 2021, συνδέθηκε με κυβερνοεπιθέσεις σε ξενοδοχεία, κυβερνήσεις, εταιρείες μηχανικών και δικηγορικά γραφεία. Ο όμιλος έχει λειτουργήσει στο παρελθόν ανεξάρτητα, χρησιμοποιώντας το SparrowDoor ως αποκλειστικό εμφύτευμά του.
Με την πάροδο του χρόνου, οι ερευνητές παρατήρησαν ομοιότητες τακτικής μεταξύ του FamousSparrow και άλλων κινεζικών ομάδων hacking όπως οι Earth Estries, GhostEmperor και Salt Typhoon , οι τελευταίοι που είναι γνωστός ότι στοχεύουν στον τομέα των τηλεπικοινωνιών. Ωστόσο, παρά αυτές τις επικαλύψεις, το FamousSparrow παραμένει ταξινομημένο ως μια ξεχωριστή ομάδα απειλών με μοναδικά χαρακτηριστικά.
The Attack Chain: How the Breach Unfolded
Η επίθεση ξεκινά με το FamousSparrow να αναπτύσσει ένα κέλυφος ιστού σε έναν ευάλωτο διακομιστή IIS. Ενώ η ακριβής μέθοδος απόκτησης αρχικής πρόσβασης παραμένει άγνωστη, και οι δύο επηρεαζόμενοι οργανισμοί εκτελούσαν ξεπερασμένες εκδόσεις των Windows και του Microsoft Exchange Server, καθιστώντας τους πρωταρχικούς στόχους.
Μόλις τοποθετηθεί το κέλυφος Ιστού, χρησιμεύει ως επιφάνεια εκκίνησης για ένα απομακρυσμένο σενάριο δέσμης. Αυτό το σενάριο εκτελεί ένα κέλυφος ιστού .NET με κωδικοποίηση Base64, αναπτύσσοντας τελικά τόσο το SparrowDoor όσο και το ShadowPad στο παραβιασμένο σύστημα.
Πώς λειτουργεί το SparrowDoor: Μια βαθιά κατάδυση στις δυνατότητές του
Μία από τις νέες παραλλαγές SparrowDoor μοιράζεται ομοιότητες με το Crowdoor, ένα παλαιότερα τεκμηριωμένο κακόβουλο λογισμικό. Ωστόσο, και οι δύο εκδόσεις εισάγουν σημαντικές βελτιώσεις, όπως:
- Παράλληλη εκτέλεση εργασιών – Το backdoor μπορεί να εκτελέσει πολλές εντολές ταυτόχρονα, βελτιώνοντας την απόδοση.
- Δυναμικός χειρισμός εντολών – Οι εντολές ενεργοποιούν ένα νέο νήμα, το οποίο δημιουργεί μια ξεχωριστή σύνδεση με τον διακομιστή Command-and-Control (C&C).
- Παρακολούθηση θυμάτων – Κάθε σύνδεση περιλαμβάνει ένα μοναδικό αναγνωριστικό θύματος και αναγνωριστικό εντολής, βοηθώντας τον διακομιστή C&C να διαχειρίζεται αποτελεσματικά τις τρέχουσες εργασίες.
Το SparrowDoor είναι εξοπλισμένο με μια σειρά δυνατοτήτων που ενισχύουν τη λειτουργικότητά του. Μπορεί να δημιουργήσει έναν διακομιστή μεσολάβησης, να επιτρέψει κρυφή επικοινωνία και να ξεκινήσει διαδραστικές συνεδρίες φλοιού για να επιτρέψει την εκτέλεση εντολών σε πραγματικό χρόνο. Το backdoor είναι επίσης ικανό να χειρίζεται διάφορες λειτουργίες αρχείων, όπως ανάγνωση, εγγραφή και τροποποίηση αρχείων, ενώ ταυτόχρονα απαριθμεί το σύστημα αρχείων για να χαρτογραφήσει τους διαθέσιμους καταλόγους και τα δεδομένα. Επιπλέον, συλλέγει λεπτομερείς πληροφορίες κεντρικού υπολογιστή, παρέχοντας στους εισβολείς πληροφορίες σχετικά με το παραβιασμένο σύστημα. Εάν χρειαστεί, το SparrowDoor μπορεί ακόμη και να αφαιρεθεί εντελώς, διασφαλίζοντας ότι τα ίχνη της παρουσίας του θα διαγραφούν.
A Modular Approach: SparrowDoor's Enhanced Version
Η δεύτερη, πιο προηγμένη παραλλαγή SparrowDoor εισάγει έναν αρθρωτό σχεδιασμό που βασίζεται σε πρόσθετα, επεκτείνοντας τις δυνατότητές του μέσω εννέα εξειδικευμένων ενοτήτων:
- Cmd – Εκτελέστε εντολές συστήματος
- CFile – Διαχείριση λειτουργιών αρχείων
- CKeylogPlug – Καταγραφή πλήκτρων
- CSocket – Δημιουργήστε έναν διακομιστή μεσολάβησης TCP
- CShell – Ξεκινήστε διαδραστικές συνεδρίες φλοιού
- CTransf – Μεταφέρετε αρχεία μεταξύ του μολυσμένου κεντρικού υπολογιστή και του διακομιστή C&C
- CRdp – Λήψη στιγμιότυπων οθόνης
- CPro – Λίστα και τερματισμός διεργασιών που εκτελούνται
- CFileMoniter – Παρακολούθηση αλλαγών συστήματος αρχείων σε συγκεκριμένους καταλόγους
FamousSparrow: Still Active, Still Evolving
Αυτό το πρόσφατο κύμα δραστηριότητας επιβεβαιώνει ότι το FamousSparrow όχι μόνο εξακολουθεί να είναι ενεργό, αλλά και να επενδύει στη συνεχή ανάπτυξη της κερκόπορτας του SparrowDoor. Με την εισαγωγή των αρθρωτών δυνατοτήτων και την υιοθέτηση του ShadowPad, η ομάδα εξελίσσεται σαφώς, αποτελώντας μια ακόμη πιο σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο προχωρώντας.
