Varianti di Backdoor SparrowDoor
Il gruppo cinese di cyberspionaggio noto come FamousSparrow è stato collegato a nuovi attacchi a un gruppo commerciale statunitense e a un istituto di ricerca messicano, implementando la sua famigerata backdoor SparrowDoor insieme al malware ShadowPad . L'attività, osservata a luglio 2024, segna la prima volta che il gruppo ha sfruttato ShadowPad, uno strumento frequentemente utilizzato da attori sponsorizzati dallo stato cinese.
Sommario
L’evoluzione di SparrowDoor: una minaccia più sofisticata
FamousSparrow ha introdotto due nuove varianti della sua backdoor SparrowDoor, una delle quali è modulare. Queste versioni rappresentano un salto significativo nella funzionalità, incorporando l'esecuzione parallela di comandi per migliorare l'efficienza.
Questo segna un importante aggiornamento rispetto alle versioni precedenti. Consente al malware di eseguire comandi come operazioni sui file e sessioni shell interattive senza bloccare le attività in corso.
Una storia di spionaggio: gli attacchi più notevoli di FamousSparrow
Inizialmente scoperto a settembre 2021, FamousSparrow è stato collegato ad attacchi informatici ad hotel, governi, studi di ingegneria e studi legali. Il gruppo ha precedentemente operato in modo indipendente, utilizzando SparrowDoor come suo impianto esclusivo.
Nel corso del tempo, i ricercatori hanno osservato somiglianze tattiche tra FamousSparrow e altri gruppi di hacker cinesi come Earth Estries, GhostEmperor e Salt Typhoon , quest'ultimo noto per aver preso di mira il settore delle telecomunicazioni. Tuttavia, nonostante queste sovrapposizioni, FamousSparrow rimane classificato come un gruppo di minacce distinto con caratteristiche uniche.
La catena di attacco: come si è svolta la violazione
L'attacco inizia con FamousSparrow che distribuisce una web shell su un server IIS vulnerabile. Mentre il metodo esatto per ottenere l'accesso iniziale rimane sconosciuto, entrambe le organizzazioni interessate eseguivano versioni obsolete di Windows e Microsoft Exchange Server, il che le rendeva obiettivi primari.
Una volta che la web shell è in posizione, funge da launchpad per uno script batch remoto. Questo script esegue una web shell .NET codificata in Base64, distribuendo infine sia SparrowDoor che ShadowPad sul sistema compromesso.
Come funziona SparrowDoor: un’analisi approfondita delle sue capacità
Una delle nuove varianti di SparrowDoor condivide somiglianze con Crowdoor, un malware precedentemente documentato. Tuttavia, entrambe le versioni introducono miglioramenti sostanziali, tra cui:
- Esecuzione di attività parallele : la backdoor può eseguire più comandi contemporaneamente, migliorando le prestazioni.
- Gestione dinamica dei comandi : i comandi attivano un nuovo thread, che stabilisce una connessione separata al server di comando e controllo (C&C).
- Monitoraggio delle vittime : ogni connessione include un ID vittima e un ID comando univoci, aiutando il server C&C a gestire in modo efficiente le attività in corso.
SparrowDoor è dotato di una serie di capacità che ne migliorano la funzionalità. Può stabilire un proxy, consentire comunicazioni segrete e avviare sessioni shell interattive per abilitare l'esecuzione di comandi in tempo reale. La backdoor è anche in grado di gestire varie operazioni sui file, tra cui lettura, scrittura e modifica dei file, enumerando contemporaneamente il file system per mappare directory e dati disponibili. Inoltre, raccoglie informazioni dettagliate sull'host, fornendo agli aggressori informazioni sul sistema compromesso. Se necessario, SparrowDoor può persino rimuovere completamente se stesso, assicurando che le tracce della sua presenza vengano cancellate.
Un approccio modulare: la versione migliorata di SparrowDoor
La seconda variante di SparrowDoor, più avanzata, introduce un design modulare basato su plugin, espandendo le sue capacità attraverso nove moduli specializzati:
- Cmd – Esegue i comandi di sistema
- CFile – Gestisci le operazioni sui file
- CKeylogPlug – Registra le sequenze di tasti
- CSocket – Stabilisci un proxy TCP
- CShell – Avvia sessioni shell interattive
- CTransf – Trasferisce file tra l’host infetto e il server C&C
- CRdp – Cattura schermate
- CPro – Elenca e termina i processi in esecuzione
- CFileMoniter – Traccia le modifiche del file system in directory specifiche
FamousSparrow: ancora attivo, ancora in evoluzione
Questa recente ondata di attività conferma che FamousSparrow non solo è ancora attivo, ma sta anche investendo nello sviluppo continuo della sua backdoor SparrowDoor. Con l'introduzione di capacità modulari e l'adozione di ShadowPad, il gruppo si sta chiaramente evolvendo, ponendo una minaccia alla sicurezza informatica ancora più significativa in futuro.
