قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) انواع SparrowDoor Backdoor

انواع SparrowDoor Backdoor

تا Mezo در تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:
فارسی

گروه جاسوسی سایبری چینی معروف به FamousSparrow با حملات جدیدی به یک گروه تجاری ایالات متحده و یک موسسه تحقیقاتی مکزیکی مرتبط شده است و در پشتی بدنام SparrowDoor خود را در کنار بدافزار ShadowPad مستقر کرده است. این فعالیت که در جولای 2024 مشاهده شد، اولین باری است که این گروه از ShadowPad، ابزاری که اغلب توسط بازیگران دولتی چین استفاده می‌شود، استفاده می‌کند.

تکامل SparrowDoor: تهدیدی پیچیده تر

FamousSparrow دو نوع جدید از درب پشتی SparrowDoor خود را معرفی کرده است که یکی از آنها ماژولار است. این نسخه ها نشان دهنده یک جهش قابل توجه در عملکرد هستند، که شامل اجرای موازی دستورات برای افزایش کارایی است.

این یک ارتقاء بزرگ نسبت به نسخه های قبلی است. این نرم افزار به بدافزار اجازه می دهد تا دستوراتی مانند عملیات فایل و جلسات پوسته تعاملی را بدون توقف کارهای در حال انجام اجرا کند.

تاریخچه جاسوسی: حملات قابل توجه FamousSparrow

FamousSparrow که در ابتدا در سپتامبر 2021 افشا شد، با حملات سایبری به هتل ها، دولت ها، شرکت های مهندسی و دفاتر حقوقی مرتبط بود. این گروه قبلاً به طور مستقل فعالیت می کرد و از SparrowDoor به عنوان ایمپلنت انحصاری خود استفاده می کرد.

با گذشت زمان، محققان شباهت‌های تاکتیکی را بین FamousSparrow و سایر گروه‌های هکر چینی مانند Earth Estries، GhostEmperor و Salt Typhoon مشاهده کردند که گروه دوم به دلیل هدف قرار دادن بخش مخابرات شناخته شده است. با این حال، با وجود این همپوشانی ها، FamousSparrow همچنان به عنوان یک گروه تهدید متمایز با ویژگی های منحصر به فرد طبقه بندی می شود.

زنجیره حمله: چگونه نقض آشکار شد

این حمله با استقرار یک پوسته وب روی سرور آسیب پذیر IIS توسط FamousSparrow آغاز می شود. در حالی که روش دقیق دستیابی به دسترسی اولیه ناشناخته باقی مانده است، هر دو سازمان آسیب دیده از نسخه های قدیمی ویندوز و Microsoft Exchange Server استفاده می کردند که آنها را به اهداف اصلی تبدیل می کرد.

هنگامی که پوسته وب در جای خود قرار گرفت، به عنوان یک سکوی راه اندازی برای یک اسکریپت دسته ای راه دور عمل می کند. این اسکریپت یک پوسته وب دات نت کدگذاری شده با Base64 را اجرا می کند و در نهایت SparrowDoor و ShadowPad را بر روی سیستم در معرض خطر مستقر می کند.

SparrowDoor چگونه کار می کند: شیرجه عمیق در قابلیت های آن

یکی از انواع جدید SparrowDoor شباهت‌هایی با Crowdoor، یک بدافزار مستند شده قبلی دارد. با این حال، هر دو نسخه پیشرفت های قابل توجهی را ارائه می دهند، از جمله:

  • اجرای موازی کار - درب پشتی می تواند چندین فرمان را همزمان اجرا کند و عملکرد را بهبود بخشد.
  • مدیریت دینامیک فرمان - دستورات یک رشته جدید را راه اندازی می کنند که یک اتصال جداگانه به سرور Command-and-Control (C&C) برقرار می کند.
  • ردیابی قربانی - هر اتصال شامل یک شناسه قربانی و شناسه فرمان منحصر به فرد است که به سرور C&C کمک می کند تا وظایف در حال انجام را به طور موثر مدیریت کند.

SparrowDoor به طیف وسیعی از قابلیت‌ها مجهز شده است که عملکرد آن را افزایش می‌دهد. می‌تواند یک پروکسی ایجاد کند، امکان برقراری ارتباط پنهانی را فراهم کند و جلسات پوسته تعاملی را برای فعال کردن اجرای دستور در زمان واقعی آغاز کند. درپشتی همچنین قادر به مدیریت عملیات های مختلف فایل، از جمله خواندن، نوشتن، و اصلاح فایل ها است، در حالی که به طور همزمان سیستم فایل را برای ترسیم دایرکتوری ها و داده های موجود شمارش می کند. علاوه بر این، اطلاعات دقیق میزبان را جمع آوری می کند و بینش هایی را در مورد سیستم در معرض خطر به مهاجمان ارائه می دهد. در صورت نیاز، SparrowDoor حتی می تواند خود را به طور کامل حذف کند و اطمینان حاصل کند که آثار حضور آن پاک می شود.

یک رویکرد مدولار: نسخه پیشرفته SparrowDoor

نوع دوم و پیشرفته‌تر SparrowDoor یک طراحی ماژولار و مبتنی بر پلاگین را معرفی می‌کند و قابلیت‌های خود را از طریق نه ماژول تخصصی گسترش می‌دهد:

  • Cmd – دستورات سیستم را اجرا کنید
  • CFile - مدیریت عملیات فایل
  • CKeylogPlug – ورود به صفحه کلید
  • CSocket - یک پروکسی TCP ایجاد کنید
  • CShell - جلسات پوسته تعاملی را شروع کنید
  • CTransf - انتقال فایل ها بین میزبان آلوده و سرور C&C
  • CRdp – گرفتن اسکرین شات
  • CPro - فهرست و پایان فرآیندهای در حال اجرا
  • CFileMoniter – ردیابی تغییرات سیستم فایل در دایرکتوری های خاص

FamousSparrow: هنوز فعال، هنوز در حال تکامل

این موج اخیر فعالیت تأیید می کند که FamousSparrow نه تنها هنوز فعال است، بلکه در توسعه مستمر SparrowDoor خود نیز سرمایه گذاری می کند. با معرفی قابلیت‌های ماژولار و استفاده از ShadowPad، این گروه به وضوح در حال تکامل است و تهدیدات امنیت سایبری مهم‌تری را در پیش می‌گیرد.

پرطرفدار

کلاهبرداری ایمیل سرور ابری ایمیل

فیشینگ, هرزنامه
اینترنت مملو از طرح‌های فریبنده است که برای بهره‌برداری از کاربران ناآگاه طراحی شده‌اند، که این امر باعث می‌شود در هنگام مرور و مدیریت ایمیل‌ها احتیاط کنید. حملات فیشینگ، مانند کلاهبرداری ایمیل Mail Cloud Server، یکی از رایج ترین تهدیدها هستند که از تاکتیک های مهندسی اجتماعی برای سرقت اطلاعات حساس استفاده می کنند. با درک نحوه عملکرد این کلاهبرداری، کاربران می توانند تشخیص دهند و از قربانی شدن...

آسیب پذیری CVE-2025-24201

آسیب پذیری
اپل از انتشار یک به‌روزرسانی امنیتی مهم برای رفع آسیب‌پذیری روز صفر با نام CVE-2025-24201 خبر داده است. این نقص، که به طور فعال در حملات "بسیار پیچیده" مورد سوء استفاده قرار گرفته است، موتور مرورگر وب WebKit را تحت تاثیر قرار می دهد. این مشکل شامل یک آسیب‌پذیری نوشتن خارج از محدوده است که می‌تواند به مهاجمان اجازه دهد تا جعبه ایمنی محتوای وب را دور بزنند و به طور بالقوه امنیت دستگاه را به خطر...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
28,661
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...