Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) SparrowDoor Backdoor varijante

SparrowDoor Backdoor varijante

Do Mezo. Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:
Hrvatski

Kineska skupina za kibernetičku špijunažu poznata kao FamousSparrow povezana je s novim napadima na američku trgovačku grupu i meksički istraživački institut, postavljajući svoja zloglasna stražnja vrata SparrowDoor uz zlonamjerni softver ShadowPad . Ova aktivnost, zabilježena u srpnju 2024., označava prvi put da je grupa iskoristila ShadowPad, alat koji često koriste kineski državni akteri.

Evolucija SparrowDoora: Sofisticiranija prijetnja

FamousSparrow je predstavio dvije nove varijante svojih stražnjih vrata SparrowDoor, od kojih je jedna modularna. Ove verzije predstavljaju značajan napredak u funkcionalnosti, uključujući paralelno izvršavanje naredbi za povećanje učinkovitosti.

Ovo označava veliku nadogradnju u odnosu na ranije verzije. Omogućuje zlonamjernom softveru izvršavanje naredbi kao što su operacije datoteka i interaktivne sesije ljuske bez zaustavljanja tekućih zadataka.

Povijest špijunaže: znameniti napadi FamousSparrowa

Prvobitno otkriven u rujnu 2021., FamousSparrow je povezan s cyber napadima na hotele, vlade, inženjerske tvrtke i odvjetničke urede. Grupa je prethodno djelovala samostalno, koristeći SparrowDoor kao svoj ekskluzivni implantat.

Tijekom vremena, istraživači su uočili taktičke sličnosti između FamousSparrow i drugih kineskih hakerskih skupina kao što su Earth Estries, GhostEmperor i Salt Typhoon , potonja poznata po ciljanju na sektor telekomunikacija. Međutim, usprkos ovim preklapanjima, FamousSparrow ostaje klasificiran kao zasebna prijetnja s jedinstvenim karakteristikama.

Lanac napada: Kako se proboj odvijao

Napad počinje tako što FamousSparrow postavlja web shell na ranjivi IIS poslužitelj. Dok točna metoda dobivanja početnog pristupa ostaje nepoznata, obje pogođene organizacije imale su zastarjele verzije sustava Windows i Microsoft Exchange Server, što ih je činilo glavnim metama.

Nakon što je web ljuska postavljena, služi kao podloga za pokretanje udaljene batch skripte. Ova skripta izvršava Base64 kodiranu .NET web ljusku, u konačnici implementirajući i SparrowDoor i ShadowPad na kompromitirani sustav.

Kako SparrowDoor radi: Duboko zaronite u njegove mogućnosti

Jedna od novih varijanti SparrowDoor-a ima sličnosti s Crowdoorom, prethodno dokumentiranim malwareom. Međutim, obje verzije uvode značajna poboljšanja, uključujući:

  • Paralelno izvršavanje zadatka – Backdoor može izvoditi više naredbi odjednom, poboljšavajući performanse.
  • Dinamičko rukovanje naredbama – Naredbe pokreću novu nit, koja uspostavlja zasebnu vezu s Command-and-Control (C&C) poslužiteljem.
  • Praćenje žrtve – svaka veza uključuje jedinstveni ID žrtve i ID naredbe, što pomaže C&C poslužitelju da učinkovito upravlja tekućim zadacima.

SparrowDoor dolazi opremljen nizom mogućnosti koje poboljšavaju njegovu funkcionalnost. Može uspostaviti proxy, omogućiti tajnu komunikaciju i pokrenuti interaktivne sesije ljuske kako bi se omogućilo izvršavanje naredbi u stvarnom vremenu. Backdoor je također sposoban rukovati raznim operacijama datoteka, uključujući čitanje, pisanje i modificiranje datoteka, dok istovremeno nabraja datotečni sustav kako bi mapirao dostupne direktorije i podatke. Osim toga, prikuplja detaljne informacije o hostu, pružajući napadačima uvid u kompromitirani sustav. Ako je potrebno, SparrowDoor se čak može potpuno ukloniti, osiguravajući brisanje tragova njegove prisutnosti.

Modularni pristup: SparrowDoorova poboljšana verzija

Druga, naprednija varijanta SparrowDoor uvodi modularni dizajn temeljen na dodacima, proširujući svoje mogućnosti kroz devet specijaliziranih modula:

  • Cmd – Izvršite naredbe sustava
  • CFile – Upravljanje operacijama datoteka
  • CKeylogPlug – Bilježi pritiske tipki
  • CSocket – Uspostavite TCP proxy
  • CShell – Pokrenite interaktivne sesije ljuske
  • CTransf – Prijenos datoteka između zaraženog hosta i C&C poslužitelja
  • CRdp – Snimite snimke zaslona
  • CPro – Popis i prekid pokrenutih procesa
  • CFileMoniter – Pratite promjene datotečnog sustava u određenim direktorijima

FamousSparrow: još uvijek aktivan, i dalje se razvija

Ovaj nedavni val aktivnosti potvrđuje da je FamousSparrow ne samo još uvijek aktivan, već i ulaže u kontinuirani razvoj svog SparrowDoor stražnjeg vrata. Uvođenjem modularnih mogućnosti i usvajanjem ShadowPada, grupa se očito razvija, predstavljajući još značajniju prijetnju kibernetičkoj sigurnosti.

U trendu

Nagledanije

Učitavam...