Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) SparrowDoor Backdoor -versiot

SparrowDoor Backdoor -versiot

Vuonna Mezo vuonna Advanced Persistent Threat (APT), Takaovet
Käännä:
Suomi

Kiinalainen kybervakoiluryhmä, joka tunnetaan nimellä FamousSparrow, on yhdistetty uusiin hyökkäyksiin yhdysvaltalaista kaupparyhmää ja meksikolaista tutkimuslaitosta vastaan, ja se on ottanut käyttöön pahamaineisen SparrowDoor- takaoven ShadowPad- haittaohjelman rinnalla. Heinäkuussa 2024 havaittu toiminta on ensimmäinen kerta, kun ryhmä on hyödyntänyt ShadowPadia, Kiinan valtion tukemien toimijoiden usein käyttämää työkalua.

SparrowDoorin kehitys: kehittyneempi uhka

FamousSparrow on esitellyt kaksi uutta versiota SparrowDoor-takaovesta, joista toinen on modulaarinen. Nämä versiot edustavat merkittävää harppausta toiminnallisuudessa, ja ne sisältävät komentojen rinnakkaisen suorituskyvyn tehokkuuden parantamiseksi.

Tämä on merkittävä päivitys aiemmista versioista. Sen avulla haittaohjelmat voivat suorittaa komentoja, kuten tiedostotoimintoja ja interaktiivisia shell-istuntoja ilman, että käynnissä olevat tehtävät pysähtyvät.

Vakoilun historia: FamousSparrow’n merkittävät hyökkäykset

Alun perin syyskuussa 2021 paljastettu FamousSparrow on yhdistetty kyberhyökkäuksiin hotelleihin, hallituksille, suunnittelutoimistoille ja lakitoimistoille. Ryhmä on aiemmin toiminut itsenäisesti käyttämällä SparrowDooria ainutlaatuisena implanttina.

Ajan mittaan tutkijat ovat havainneet taktisia yhtäläisyyksiä FamousSparrow'n ja muiden kiinalaisten hakkerointiryhmien, kuten Earth Estriesin, GhostEmperorin ja Salt Typhoonin , välillä, jälkimmäinen tunnetaan televiestintäsektorin kohdistamisesta. Näistä päällekkäisyyksistä huolimatta FamousSparrow luokitellaan kuitenkin erilliseksi uhkaryhmäksi, jolla on ainutlaatuiset ominaisuudet.

Hyökkäysketju: Miten rikkomus eteni

Hyökkäys alkaa siitä, että FamousSparrow ottaa käyttöön web-kuoren haavoittuvalla IIS-palvelimella. Vaikka tarkka tapa saada ensimmäinen käyttöoikeus ei ole tiedossa, molemmat organisaatiot käyttivät vanhentuneita Windows- ja Microsoft Exchange Server -versioita, mikä teki niistä ensisijaisia kohteita.

Kun web-kuori on paikallaan, se toimii etäkomentosarjan käynnistyslevynä. Tämä komentosarja suorittaa Base64-koodatun .NET-verkkokuoren ja ottaa lopulta käyttöön sekä SparrowDoorin että ShadowPadin vaarantuneeseen järjestelmään.

Kuinka SparrowDoor toimii: Sukella syvälle sen ominaisuuksiin

Yksi uusista SparrowDoor-versioista jakaa yhtäläisyyksiä aiemmin dokumentoidun haittaohjelman Crowdoorin kanssa. Molemmat versiot sisältävät kuitenkin merkittäviä parannuksia, mukaan lukien:

  • Tehtävän suorittaminen rinnakkain – Takaovi voi suorittaa useita komentoja kerralla, mikä parantaa suorituskykyä.
  • Dynaaminen komentojen käsittely – Komennot laukaisevat uuden säikeen, joka muodostaa erillisen yhteyden Command-and-Control (C&C) -palvelimeen.
  • Uhrien seuranta – Jokainen yhteys sisältää yksilöllisen uhritunnuksen ja komentotunnuksen, mikä auttaa C&C-palvelinta hallitsemaan käynnissä olevia tehtäviä tehokkaasti.

SparrowDoor on varustettu valikoimalla ominaisuuksia, jotka parantavat sen toimivuutta. Se voi muodostaa välityspalvelimen, mahdollistaa salaisen viestinnän ja käynnistää interaktiivisia shell-istuntoja mahdollistaakseen reaaliaikaisen komennon suorittamisen. Takaovi pystyy myös käsittelemään erilaisia tiedostotoimintoja, mukaan lukien tiedostojen lukeminen, kirjoittaminen ja muokkaaminen, samalla kun luettelee tiedostojärjestelmä käytettävissä olevien hakemistojen ja tietojen kartoittamiseksi. Lisäksi se kerää yksityiskohtaisia isäntätietoja ja tarjoaa hyökkääjille näkemyksiä vaarantuneesta järjestelmästä. Tarvittaessa SparrowDoor voi jopa poistaa itsensä kokonaan ja varmistaa, että sen läsnäolon jäljet poistetaan.

Modulaarinen lähestymistapa: SparrowDoorin parannettu versio

Toinen, kehittyneempi SparrowDoor-versio esittelee modulaarisen, laajennuspohjaisen suunnittelun, joka laajentaa sen ominaisuuksia yhdeksällä erikoismoduulilla:

  • Cmd - Suorita järjestelmäkomennot
  • CFile – Hallitse tiedostotoimintoja
  • CKeylogPlug – kirjaa näppäinpainallukset
  • CSocket – Luo TCP-välityspalvelin
  • CShell – Aloita interaktiivisia shell-istuntoja
  • CTransf – Siirrä tiedostoja tartunnan saaneen isännän ja C&C-palvelimen välillä
  • CRdp – Ota kuvakaappauksia
  • CPro – Listaa ja lopeta käynnissä olevat prosessit
  • CFileMoniter – Seuraa tiedostojärjestelmän muutoksia tietyissä hakemistoissa

FamousSparrow: edelleen aktiivinen, edelleen kehittyvä

Tämä viimeaikainen aktiviteettiaalto vahvistaa, että FamousSparrow ei ole vain edelleen aktiivinen, vaan myös investoi SparrowDoor-takaoven jatkuvaan kehittämiseen. Modulaaristen ominaisuuksien käyttöönoton ja ShadowPadin käyttöönoton myötä ryhmä kehittyy selvästi, mikä muodostaa entistä merkittävämmän kyberturvallisuusuhan eteenpäin.

Trendaavat

Mail Cloud Server -sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Internet on täynnä petollisia järjestelmiä, jotka on suunniteltu hyväkseen hyväuskoisia käyttäjiä, minkä vuoksi on tärkeää pysyä varovaisena selatessasi ja käsiteltäessä sähköposteja. Tietojenkalasteluhyökkäykset, kuten Mail Cloud Server -sähköpostihuijaus, ovat yleisimpiä uhkia, joissa käytetään sosiaalisen manipuloinnin taktiikkaa arkaluonteisten tietojen varastamiseen. Ymmärtämällä, miten...

Eniten katsottu

Ladataan...