SparrowDoor tagaukse variandid
Hiina küberspionaažigruppi, mida tuntakse nime all FamousSparrow, seostatakse uute rünnakutega USA kaubandusgrupi ja Mehhiko uurimisinstituudi vastu, mis kasutab oma kurikuulsat SparrowDoor tagaust koos ShadowPadi pahavaraga. 2024. aasta juulis täheldatud tegevus on esimene kord, kui rühm kasutab ShadowPadi – tööriista, mida sageli kasutavad Hiina riiklikult toetatud osalejad.
Sisukord
SparrowDoori areng: keerukam oht
FamousSparrow on tutvustanud oma SparrowDoor tagaukse kahte uut varianti, millest üks on modulaarne. Need versioonid kujutavad endast olulist hüpet funktsionaalsuses, hõlmates tõhususe suurendamiseks käskude paralleelset täitmist.
See tähistab olulist uuendust võrreldes varasemate versioonidega. See võimaldab pahavaral täita selliseid käske nagu failitoimingud ja interaktiivsed shelliseansid, ilma käimasolevaid ülesandeid peatamata.
Spionaaži ajalugu: FamousSparrow märkimisväärsed rünnakud
Algselt 2021. aasta septembris paljastatud FamousSparrow on seotud küberrünnakutega hotellidele, valitsustele, inseneribüroodele ja advokaadibüroodele. Grupp on varem tegutsenud iseseisvalt, kasutades oma eksklusiivse implantaadina SparrowDoori.
Aja jooksul on teadlased täheldanud taktikalisi sarnasusi FamousSparrow ja teiste Hiina häkkimisrühmade, nagu Earth Estries, GhostEmperor ja Salt Typhoon , vahel, viimane on tuntud telekommunikatsioonisektori sihtmärgina. Vaatamata nendele kattuvustele klassifitseeritakse FamousSparrow siiski ainulaadsete omadustega ohurühmaks.
Rünnaku ahel: kuidas rikkumine lahti läks
Rünnak algab sellega, et FamousSparrow juurutab haavatavasse IIS-i serverisse veebikesta. Kuigi esialgse juurdepääsu saamise täpne viis on teadmata, kasutasid mõlemad mõjutatud organisatsioonid Windowsi ja Microsoft Exchange Serveri aegunud versioone, muutes need peamisteks sihtmärkideks.
Kui veebikest on paigas, toimib see kaugskripti käivitamiseks. See skript käivitab Base64-kodeeringuga .NET-i veebishelli, juurutades lõpuks nii SparrowDoori kui ka ShadowPadi ohustatud süsteemis.
Kuidas SparrowDoor töötab: sukelduge põhjalikult selle võimalustesse
Üks uutest SparrowDoori variantidest jagab sarnasusi varem dokumenteeritud pahavara Crowdooriga . Mõlemad versioonid sisaldavad aga olulisi täiustusi, sealhulgas:
- Ülesande paralleelne täitmine – tagauks võib käivitada mitu käsku korraga, parandades jõudlust.
- Dünaamiline käskude käsitlemine – käsud käivitavad uue lõime, mis loob eraldi ühenduse Command-and-Control (C&C) serveriga.
- Ohvri jälgimine – iga ühendus sisaldab unikaalset ohvri ID-d ja käsu ID-d, mis aitavad C&C serveril jooksvaid ülesandeid tõhusalt hallata.
SparrowDoor on varustatud erinevate võimalustega, mis täiustavad selle funktsionaalsust. See võib luua puhverserveri, võimaldada varjatud suhtlust ja algatada interaktiivseid shelliseansse, et võimaldada reaalajas käskude täitmist. Tagauks on võimeline käsitlema ka mitmesuguseid failitoiminguid, sealhulgas failide lugemist, kirjutamist ja muutmist, loendades samal ajal failisüsteemi, et kaardistada saadaolevad kataloogid ja andmed. Lisaks kogub see üksikasjalikku hostiteavet, pakkudes ründajatele teavet ohustatud süsteemi kohta. Vajadusel saab SparrowDoor end isegi täielikult eemaldada, tagades selle olemasolu jälgede kustutamise.
Modulaarne lähenemine: SparrowDoori täiustatud versioon
Teine, arenenum SparrowDoor variant tutvustab modulaarset pistikprogrammipõhist disaini, mis laiendab selle võimalusi üheksa spetsiaalse mooduli kaudu:
- Cmd – süsteemikäskude täitmine
- CFile – failitoimingute haldamine
- CKeylogPlug – logi klahvivajutused
- CSocket – looge TCP-puhverserver
- CShell – interaktiivsete shelliseansside käivitamine
- CTransf – failide edastamine nakatunud hosti ja C&C serveri vahel
- CRdp – jäädvustage ekraanipilte
- CPro – jooksvate protsesside loend ja lõpetamine
- CFileMoniter – jälgige failisüsteemi muudatusi konkreetsetes kataloogides
FamousSparrow: endiselt aktiivne, endiselt arenev
See hiljutine tegevuslaine kinnitab, et FamousSparrow pole mitte ainult endiselt aktiivne, vaid investeerib ka oma SparrowDoor tagaukse pidevasse arendusse. Modulaarsete võimaluste kasutuselevõtuga ja ShadowPadi kasutuselevõtuga on grupp selgelt arenev, kujutades endast veelgi olulisemat küberjulgeoleku ohtu.
