SparrowDoor Backdoor Variants

फेमसस्पैरो के नाम से मशहूर चीनी साइबर जासूसी समूह को अमेरिकी व्यापार समूह और मैक्सिकन शोध संस्थान पर नए हमलों से जोड़ा गया है, जिसमें शैडोपैड मैलवेयर के साथ-साथ अपने कुख्यात स्पैरोडोर बैकडोर का इस्तेमाल किया गया है। जुलाई 2024 में देखी गई यह गतिविधि पहली बार है जब समूह ने शैडोपैड का लाभ उठाया है, जो चीनी राज्य-प्रायोजित अभिनेताओं द्वारा अक्सर इस्तेमाल किया जाने वाला एक उपकरण है।

स्पैरोडोर का विकास: एक अधिक परिष्कृत खतरा

फेमसस्पैरो ने अपने स्पैरोडोर बैकडोर के दो नए संस्करण पेश किए हैं, जिनमें से एक मॉड्यूलर है। ये संस्करण कार्यक्षमता में एक महत्वपूर्ण छलांग दर्शाते हैं, जिसमें दक्षता बढ़ाने के लिए कमांड के समानांतर निष्पादन को शामिल किया गया है।

यह पिछले संस्करणों की तुलना में एक बड़ा अपग्रेड है। यह मैलवेयर को चल रहे कार्यों को रोके बिना फ़ाइल संचालन और इंटरैक्टिव शेल सत्र जैसे कमांड निष्पादित करने की अनुमति देता है।

जासूसी का इतिहास: फेमसस्पैरो के उल्लेखनीय हमले

सितंबर 2021 में शुरू में उजागर हुए फेमसस्पैरो को होटलों, सरकारों, इंजीनियरिंग फर्मों और कानूनी कार्यालयों पर साइबर हमलों से जोड़ा गया है। समूह पहले स्वतंत्र रूप से काम करता था, स्पैरोडोर को अपने विशेष प्रत्यारोपण के रूप में उपयोग करता था।

समय के साथ, शोधकर्ताओं ने फेमसस्पैरो और अर्थ एस्ट्रीज, घोस्ट एम्परर और साल्ट टाइफून जैसे अन्य चीनी हैकिंग समूहों के बीच सामरिक समानताएं देखी हैं, जिन्हें दूरसंचार क्षेत्र को लक्षित करने के लिए जाना जाता है। हालाँकि, इन ओवरलैप्स के बावजूद, फेमसस्पैरो को अद्वितीय विशेषताओं वाले एक अलग खतरे वाले समूह के रूप में वर्गीकृत किया गया है।

आक्रमण श्रृंखला: उल्लंघन कैसे सामने आया

यह हमला फेमसस्पैरो द्वारा एक कमजोर IIS सर्वर पर वेब शेल तैनात करने से शुरू होता है। हालांकि शुरुआती एक्सेस प्राप्त करने का सटीक तरीका अज्ञात है, लेकिन दोनों प्रभावित संगठन विंडोज और माइक्रोसॉफ्ट एक्सचेंज सर्वर के पुराने संस्करण चला रहे थे, जिससे वे प्रमुख लक्ष्य बन गए।

एक बार वेब शेल स्थापित हो जाने के बाद, यह रिमोट बैच स्क्रिप्ट के लिए लॉन्चपैड के रूप में कार्य करता है। यह स्क्रिप्ट एक बेस64-एनकोडेड .NET वेब शेल निष्पादित करती है, जो अंततः स्पैरोडोर और शैडोपैड दोनों को समझौता किए गए सिस्टम पर तैनात करती है।

स्पैरोडोर कैसे काम करता है: इसकी क्षमताओं पर एक गहरी नज़र

स्पैरोडोर के नए संस्करणों में से एक क्राउडडोर के समान है, जो पहले से ही प्रलेखित मैलवेयर है। हालाँकि, दोनों संस्करणों में पर्याप्त सुधार किए गए हैं, जिनमें शामिल हैं:

• समानांतर कार्य निष्पादन - बैकडोर एक साथ कई कमांड चला सकता है, जिससे प्रदर्शन में सुधार होता है।
• गतिशील कमांड हैंडलिंग - कमांड एक नया थ्रेड ट्रिगर करता है, जो कमांड-एंड-कंट्रोल (C&C) सर्वर से एक अलग कनेक्शन स्थापित करता है।
• पीड़ित ट्रैकिंग - प्रत्येक कनेक्शन में एक अद्वितीय पीड़ित आईडी और कमांड आईडी शामिल होती है, जो C&C सर्वर को चल रहे कार्यों को कुशलतापूर्वक प्रबंधित करने में मदद करती है।

स्पैरोडोर कई तरह की क्षमताओं से लैस है जो इसकी कार्यक्षमता को बढ़ाती हैं। यह प्रॉक्सी स्थापित कर सकता है, गुप्त संचार की अनुमति दे सकता है, और वास्तविक समय कमांड निष्पादन को सक्षम करने के लिए इंटरैक्टिव शेल सत्र शुरू कर सकता है। बैकडोर विभिन्न फ़ाइल संचालन को संभालने में भी सक्षम है, जिसमें फ़ाइलों को पढ़ना, लिखना और संशोधित करना शामिल है, साथ ही साथ उपलब्ध निर्देशिकाओं और डेटा को मैप करने के लिए फ़ाइल सिस्टम की गणना करना भी शामिल है। इसके अतिरिक्त, यह विस्तृत होस्ट जानकारी एकत्र करता है, जिससे हमलावरों को समझौता किए गए सिस्टम में अंतर्दृष्टि मिलती है। यदि आवश्यक हो, तो स्पैरोडोर खुद को पूरी तरह से हटा भी सकता है, यह सुनिश्चित करते हुए कि इसकी उपस्थिति के निशान मिट जाएँ।

एक मॉड्यूलर दृष्टिकोण: स्पैरोडोर का उन्नत संस्करण

दूसरा, अधिक उन्नत स्पैरोडोर संस्करण एक मॉड्यूलर, प्लगइन-आधारित डिजाइन प्रस्तुत करता है, जो नौ विशेष मॉड्यूलों के माध्यम से अपनी क्षमताओं का विस्तार करता है:

• Cmd – सिस्टम कमांड निष्पादित करें
• CFile – फ़ाइल संचालन प्रबंधित करें
• CKeylogPlug – लॉग कीस्ट्रोक्स
• CSocket – एक TCP प्रॉक्सी स्थापित करें
• CShell – इंटरैक्टिव शेल सत्र आरंभ करें
• CTransf – संक्रमित होस्ट और C&C सर्वर के बीच फ़ाइलें स्थानांतरित करें
• CRdp – स्क्रीनशॉट कैप्चर करें
• CPro – चल रही प्रक्रियाओं को सूचीबद्ध करें और समाप्त करें
• CFileMoniter – विशिष्ट निर्देशिकाओं में फ़ाइल सिस्टम परिवर्तनों को ट्रैक करें

फेमसस्पैरो: अभी भी सक्रिय, अभी भी विकसित हो रहा है

गतिविधि की यह हालिया लहर पुष्टि करती है कि FamousSparrow न केवल अभी भी सक्रिय है, बल्कि अपने SparrowDoor बैकडोर के निरंतर विकास में भी निवेश कर रहा है। मॉड्यूलर क्षमताओं की शुरूआत और ShadowPad को अपनाने के साथ, समूह स्पष्ट रूप से विकसित हो रहा है, जो आगे चलकर एक और भी अधिक महत्वपूर्ण साइबर सुरक्षा खतरा पेश करता है।