Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) SparrowDoor hátsó ajtó változatok

SparrowDoor hátsó ajtó változatok

Mezo -ra Advanced Persistent Threat (APT), Hátsó ajtók-ben
Fordítás ide:
Magyar

A FamousSparrow néven ismert kínai internetes kémcsoportot egy amerikai kereskedelmi csoport és egy mexikói kutatóintézet elleni újabb támadásokhoz hozták összefüggésbe, amelyek hírhedt SparrowDoor hátsó ajtóját a ShadowPad kártevő mellé telepítették. A 2024 júliusában megfigyelt tevékenység az első alkalom, hogy a csoport a ShadowPad-et, a kínai államilag támogatott szereplők által gyakran használt eszközt használja.

A SparrowDoor evolúciója: Egy kifinomultabb fenyegetés

A FamousSparrow bemutatta a SparrowDoor hátsó ajtó két új változatát, amelyek közül az egyik moduláris. Ezek a verziók jelentős ugrást jelentenek a funkcionalitás terén, mivel a hatékonyság növelése érdekében a parancsok párhuzamos végrehajtását is magukba foglalják.

Ez jelentős frissítést jelent a korábbi verziókhoz képest. Lehetővé teszi a rosszindulatú programok számára, hogy parancsokat, például fájlműveleteket és interaktív shell-munkameneteket hajtsanak végre a folyamatban lévő feladatok elakadása nélkül.

A kémkedés története: FamousSparrow nevezetes támadásai

Az eredetileg 2021 szeptemberében feltárt FamousSparrow-t szállodák, kormányok, mérnökirodák és ügyvédi irodák elleni kibertámadásokkal hozták kapcsolatba. A csoport korábban önállóan működött, kizárólagos implantátumként a SparrowDoor-t használta.

Idővel a kutatók taktikai hasonlóságokat figyeltek meg a FamousSparrow és más kínai hackercsoportok között, mint például az Earth Estries, a GhostEmperor és a Salt Typhoon , amely utóbbi a távközlési szektort célozta meg. Azonban ezen átfedések ellenére a FamousSparrow továbbra is egyedi jellemzőkkel rendelkező, különálló fenyegetési csoportnak minősül.

A támadási lánc: Hogyan bontakozott ki a jogsértés

A támadás azzal kezdődik, hogy a FamousSparrow webhéjat telepít egy sebezhető IIS-kiszolgálón. Bár a kezdeti hozzáférés megszerzésének pontos módja továbbra sem ismert, mindkét érintett szervezet a Windows és a Microsoft Exchange Server elavult verzióit futtatta, így ezek az elsődleges célpontok.

Miután a webhéj a helyén van, indítópultként szolgál egy távoli kötegelt parancsfájlhoz. Ez a szkript egy Base64-kódolású .NET webhéjat hajt végre, végül a SparrowDoor-t és a ShadowPadot is telepíti a feltört rendszerre.

Hogyan működik a SparrowDoor: Merüljön el mélyen a képességeibe

Az egyik új SparrowDoor változat hasonlóságot mutat a Crowdoorral, egy korábban dokumentált rosszindulatú programmal. Mindkét verzió azonban jelentős fejlesztéseket vezet be, többek között:

  • Párhuzamos feladatvégrehajtás – A hátsó ajtó több parancsot is futtathat egyszerre, javítva a teljesítményt.
  • Dinamikus parancskezelés – A parancsok egy új szálat indítanak el, amely külön kapcsolatot létesít a Command-and-Control (C&C) szerverrel.
  • Áldozatkövetés – Minden kapcsolat egyedi áldozat-azonosítót és parancsazonosítót tartalmaz, ami segít a C&C szervernek a folyamatban lévő feladatok hatékony kezelésében.

A SparrowDoor számos olyan funkcióval rendelkezik, amelyek fokozzák funkcionalitását. Létrehozhat proxyt, lehetővé teszi a titkos kommunikációt, és interaktív shell-munkameneteket kezdeményezhet a valós idejű parancsvégrehajtás érdekében. A hátsó ajtó különféle fájlműveleteket is képes kezelni, beleértve a fájlok olvasását, írását és módosítását, miközben egyidejűleg felsorolja a fájlrendszert az elérhető könyvtárak és adatok feltérképezéséhez. Ezenkívül részletes információkat gyűjt a gazdagépről, így a támadók betekintést nyerhetnek a feltört rendszerbe. Ha szükséges, a SparrowDoor akár teljesen eltávolíthatja magát, biztosítva, hogy a jelenlétének nyomai eltűnjenek.

Moduláris megközelítés: A SparrowDoor továbbfejlesztett verziója

A második, fejlettebb SparrowDoor változat moduláris, plugin-alapú kialakítást mutat be, amely kilenc speciális modullal bővíti ki képességeit:

  • Cmd – Rendszerparancsok végrehajtása
  • CFile – Fájlműveletek kezelése
  • CKeylogPlug – naplózza a billentyűleütéseket
  • CSocket – TCP-proxy létrehozása
  • CShell – Interaktív shell-munkamenetek kezdeményezése
  • CTransf – Fájlok átvitele a fertőzött gazdagép és a C&C szerver között
  • CRdp – Képernyőképek készítése
  • CPro – A futó folyamatok listázása és leállítása
  • CFileMoniter – Kövesse nyomon a fájlrendszer változásait meghatározott könyvtárakban

FamousSparrow: Még mindig aktív, még mindig fejlődik

Ez a közelmúltbeli tevékenységi hullám megerősíti, hogy a FamousSparrow nemcsak még mindig aktív, hanem befektet SparrowDoor hátsó ajtójának folyamatos fejlesztésébe is. A moduláris képességek bevezetésével és a ShadowPad átvételével a csoport egyértelműen fejlődik, ami még jelentősebb kiberbiztonsági fenyegetést jelent a továbblépésben.

Felkapott

Mail Cloud Server e-mail átverés

Adathalászat, Spam
Az internet tele van megtévesztő sémákkal, amelyek célja a gyanútlan felhasználók kihasználása, ezért elengedhetetlen az óvatosság az e-mailek böngészése és kezelése során. Az adathalász támadások, mint például a Mail Cloud Server e-mail átverése, a leggyakoribb fenyegetések közé tartoznak, és szociális tervezési taktikákat alkalmaznak érzékeny információk ellopására. Ha megérti, hogyan működik...

Legnézettebb

Betöltés...