Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) SparrowDoor galinių durų variantai

SparrowDoor galinių durų variantai

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Užpakalinės durys
Versti į:
Lietuvių

Kinijos kibernetinio šnipinėjimo grupuotė, žinoma kaip „FamousSparrow“, buvo siejama su naujais išpuoliais prieš JAV prekybos grupę ir Meksikos tyrimų institutą, kartu su kenkėjiška programa „ShadowPad“ diegiančią liūdnai pagarsėjusias „SparrowDoor“ užpakalines duris. Ši veikla, pastebėta 2024 m. liepos mėn., yra pirmasis kartas, kai grupė panaudojo „ShadowPad“ – įrankį, kurį dažnai naudoja Kinijos valstybės remiami veikėjai.

„SparrowDoor“ evoliucija: sudėtingesnė grėsmė

„FamousSparrow“ pristatė du naujus „SparrowDoor“ galinių durų variantus, iš kurių vienas yra modulinis. Šios versijos rodo didelį funkcionalumo šuolį, apimantį lygiagretų komandų vykdymą, siekiant padidinti efektyvumą.

Tai žymi didelį atnaujinimą, palyginti su ankstesnėmis versijomis. Tai leidžia kenkėjiškajai programai vykdyti komandas, tokias kaip failų operacijos ir interaktyvios apvalkalo sesijos, nesustabdant vykdomų užduočių.

Šnipinėjimo istorija: žymūs Žvirblio išpuoliai

Iš pradžių 2021 m. rugsėjį atskleistas „FamousSparrow“ buvo siejamas su kibernetinėmis atakomis prieš viešbučius, vyriausybes, inžinierių įmones ir advokatų kontoras. Grupė anksčiau veikė savarankiškai, kaip išskirtinį implantą naudodama SparrowDoor.

Laikui bėgant mokslininkai pastebėjo taktinius panašumus tarp FamousSparrow ir kitų Kinijos įsilaužimo grupių, tokių kaip Earth Estries, GhostEmperor ir Salt Typhoon , pastarosios žinomos kaip nukreiptos į telekomunikacijų sektorių. Tačiau nepaisant šių sutapimų, „FamousSparrow“ išlieka atskira grėsmių grupė, turinti unikalių savybių.

Atakos grandinė: kaip atsiskleidė pažeidimas

Ataka prasideda FamousSparrow įdiegus žiniatinklio apvalkalą pažeidžiamame IIS serveryje. Nors tikslus pradinės prieigos gavimo būdas vis dar nežinomas, abi paveiktos organizacijos naudojo pasenusias „Windows“ ir „Microsoft Exchange Server“ versijas, todėl jos buvo pagrindiniai tikslai.

Kai žiniatinklio apvalkalas yra vietoje, jis naudojamas kaip nuotolinio paketinio scenarijaus paleidimo sritis. Šis scenarijus vykdo „Base64“ koduotą .NET žiniatinklio apvalkalą, galiausiai įdiegdamas „SparrowDoor“ ir „ShadowPad“ į pažeistą sistemą.

Kaip veikia „SparrowDoor“: giliai pasinerkite į jo galimybes

Vienas iš naujų SparrowDoor variantų turi panašumų su Crowdoor, anksčiau dokumentuota kenkėjiška programa. Tačiau abi versijos pateikia esminių patobulinimų, įskaitant:

  • Lygiagretus užduočių vykdymas – užpakalinės durys gali vienu metu vykdyti kelias komandas, todėl pagerėja našumas.
  • Dinaminis komandų tvarkymas – komandos suaktyvina naują giją, kuri sukuria atskirą ryšį su komandų ir valdymo (C&C) serveriu.
  • Aukų sekimas – kiekvieną ryšį sudaro unikalus aukos ID ir komandos ID, padedantis C&C serveriui efektyviai valdyti vykdomas užduotis.

„SparrowDoor“ turi daugybę funkcijų, kurios pagerina jos funkcionalumą. Jis gali sukurti tarpinį serverį, leisti slaptą ryšį ir inicijuoti interaktyvius apvalkalo seansus, kad būtų galima vykdyti komandas realiuoju laiku. Užpakalinės durys taip pat gali atlikti įvairias failų operacijas, įskaitant failų skaitymą, rašymą ir modifikavimą, tuo pačiu metu išvardijant failų sistemą, kad būtų galima nustatyti turimus katalogus ir duomenis. Be to, ji renka išsamią pagrindinio kompiuterio informaciją, suteikdama užpuolikams įžvalgų apie pažeistą sistemą. Jei reikia, „SparrowDoor“ gali net visiškai pašalinti save, užtikrindama, kad jos buvimo pėdsakai būtų ištrinti.

Modulinis metodas: patobulinta „SparrowDoor“ versija

Antrasis, pažangesnis „SparrowDoor“ variantas pristato modulinį, įskiepiu pagrįstą dizainą, praplečiant jo galimybes per devynis specializuotus modulius:

  • Cmd – vykdyti sistemos komandas
  • CFile – tvarkykite failų operacijas
  • CKeylogPlug – registruokite klavišų paspaudimus
  • CSocket – sukurkite TCP tarpinį serverį
  • CShell – inicijuokite interaktyvius apvalkalo seansus
  • CTransf – perkelkite failus iš užkrėsto pagrindinio kompiuterio į C&C serverį
  • CRdp – užfiksuokite ekrano kopijas
  • CPro – įtraukite į sąrašą ir nutraukite veikiančius procesus
  • CFileMoniter – Sekite failų sistemos pakeitimus konkrečiuose kataloguose

FamousSparrow: vis dar aktyvus, vis dar tobulėjantis

Ši pastarojo meto aktyvumo banga patvirtina, kad FamousSparrow ne tik vis dar aktyvi, bet ir investuoja į nuolatinį savo SparrowDoor backdoor vystymą. Įdiegus modulines galimybes ir priėmus „ShadowPad“, grupė akivaizdžiai vystosi, o tai kelia dar didesnę kibernetinio saugumo grėsmę.

Tendencijos

Pašto debesies serverio el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Internetas pilnas apgaulingų schemų, skirtų išnaudoti nieko neįtariančius vartotojus, todėl naršant ir tvarkant el. laiškus būtina išlikti atsargiems. Sukčiavimo atakos, tokios kaip „Mail Cloud Server“ el. pašto sukčiavimas, yra viena iš labiausiai paplitusių grėsmių, naudojant socialinės inžinerijos taktiką, siekiant pavogti neskelbtiną informaciją. Suprasdami, kaip veikia ši afera, vartotojai...

CVE-2025-24201 Pažeidžiamumas

Pažeidžiamumas
„Apple“ paskelbė apie kritinio saugos naujinimo išleidimą, kad pašalintų nulinės dienos pažeidžiamumą, identifikuotą kaip CVE-2025-24201. Šis trūkumas, kuris buvo aktyviai naudojamas „itin sudėtingose“ atakose, paveikia „WebKit“ žiniatinklio naršyklės variklį. Problema susijusi su neribotu rašymo pažeidžiamumu, dėl kurio užpuolikai gali apeiti žiniatinklio turinio smėlio dėžę, o tai gali...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
28,661
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...