גרסאות דלת אחורית של SparrowDoor
קבוצת ריגול הסייבר הסינית הידועה בשם FamousSparrow נקשרה למתקפות חדשות על קבוצת סחר אמריקאית ומכון מחקר מקסיקני, תוך פריסת דלת אחורית SparrowDoor הידועה לשמצה לצד תוכנת הזדונית ShadowPad . הפעילות, שנצפתה ביולי 2024, מציינת את הפעם הראשונה שהקבוצה מינפה את ShadowPad, כלי המשמש לעתים קרובות על ידי שחקנים בחסות המדינה הסינית.
תוכן העניינים
האבולוציה של SparrowDoor: איום מתוחכם יותר
FamousSparrow הציגה שתי גרסאות חדשות של הדלת האחורית SparrowDoor שלה, אחת מהן מודולרית. גרסאות אלו מייצגות קפיצת מדרגה משמעותית בפונקציונליות, המשלבות ביצוע מקביל של פקודות לשיפור היעילות.
זה מסמן שדרוג משמעותי מגרסאות קודמות. זה מאפשר לתוכנה הזדונית לבצע פקודות כגון פעולות קבצים והפעלות מעטפת אינטראקטיביות מבלי לעכב משימות מתמשכות.
היסטוריה של ריגול: ההתקפות הבולטות של FamousSparrow
FamousSparrow נחשפה לראשונה בספטמבר 2021, ונקשרה למתקפות סייבר על בתי מלון, ממשלות, חברות הנדסה ומשרדי עורכי דין. הקבוצה פעלה בעבר באופן עצמאי, תוך שימוש ב-SparrowDoor כשתל הבלעדי שלה.
במשך הזמן, חוקרים צפו קווי דמיון טקטיים בין FamousSparrow לבין קבוצות פריצה סיניות אחרות כמו Earth Estries, GhostEmperor ו- Salt Typhoon , שהאחרונה ידועה כמכוונת למגזר הטלקום. עם זאת, למרות החפיפות הללו, FamousSparrow נשאר מסווג כקבוצת איום מובהקת עם מאפיינים ייחודיים.
שרשרת ההתקפה: איך התפתחה הפרצה
המתקפה מתחילה עם FamousSparrow שפורסת מעטפת אינטרנט על שרת IIS פגיע. בעוד השיטה המדויקת להשגת גישה ראשונית עדיין לא ידועה, שני הארגונים המושפעים הפעילו גרסאות מיושנות של Windows ו-Microsoft Exchange Server, מה שהופך אותם ליעדים עיקריים.
ברגע שמעטפת האינטרנט נמצאת במקומה, היא משמשת כנקודת הפעלה עבור סקריפט אצווה מרוחק. סקריפט זה מפעיל מעטפת אינטרנט מקודדת Base64. NET, ובסופו של דבר פורס הן את SparrowDoor והן את ShadowPad על המערכת שנפרצה.
כיצד פועלת SparrowDoor: צלילה עמוקה לתוך היכולות שלה
אחת הגרסאות החדשות של SparrowDoor חולקת קווי דמיון עם Crowdoor, תוכנה זדונית שתועדה בעבר. עם זאת, שתי הגרסאות מציגות שיפורים מהותיים, כולל:
- ביצוע משימות מקביל - הדלת האחורית יכולה להריץ מספר פקודות בבת אחת, ולשפר את הביצועים.
- טיפול בפקודות דינמיות - פקודות מפעילות שרשור חדש, אשר יוצר חיבור נפרד לשרת הפקודה והבקרה (C&C).
- מעקב אחר קורבנות - כל חיבור כולל מזהה קורבן ומזהה פקודה ייחודיים, המסייעים לשרת C&C לנהל משימות שוטפות ביעילות.
SparrowDoor מגיעה מצוידת במגוון של יכולות המשפרות את הפונקציונליות שלה. זה יכול להקים פרוקסי, לאפשר תקשורת סמויה וליזום הפעלות מעטפת אינטראקטיביות כדי לאפשר ביצוע פקודות בזמן אמת. הדלת האחורית מסוגלת גם לטפל בפעולות קבצים שונות, כולל קריאה, כתיבה ושינוי של קבצים, ובו זמנית לספור את מערכת הקבצים כדי למפות ספריות ונתונים זמינים. בנוסף, הוא אוסף מידע מארח מפורט, ומספק לתוקפים תובנות לגבי המערכת שנפרצה. במידת הצורך, SparrowDoor יכולה אפילו להסיר את עצמה לחלוטין, ולהבטיח שעקבות נוכחותה יימחקו.
גישה מודולרית: הגרסה המשופרת של SparrowDoor
הגרסה השנייה, המתקדמת יותר של SparrowDoor, מציגה עיצוב מודולרי, מבוסס תוספים, ומרחיבה את היכולות שלה באמצעות תשעה מודולים מיוחדים:
- Cmd - בצע פקודות מערכת
- CFile - ניהול פעולות קבצים
- CKeylogPlug - רישום הקשות
- CSocket - צור פרוקסי TCP
- CShell - התחל הפעלות מעטפת אינטראקטיביות
- CTransf - העבר קבצים בין המארח הנגוע לשרת C&C
- CRdp - צלם צילומי מסך
- CPro - רשום והפסק תהליכים רצים
- CFileMoniter - עקוב אחר שינויים במערכת הקבצים בספריות ספציפיות
FamousSparrow: עדיין פעיל, עדיין מתפתח
גל הפעילות האחרון הזה מאשר ש-FamousSparrow לא רק שעדיין פעילה אלא גם משקיעה בפיתוח מתמשך של הדלת האחורית שלה SparrowDoor. עם הצגת היכולות המודולריות והאימוץ של ShadowPad, הקבוצה מתפתחת בבירור, ומהווה איום אבטחת סייבר משמעותי עוד יותר קדימה.
