Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) SparrowDoor aizmugures durvju varianti

SparrowDoor aizmugures durvju varianti

Līdz Mezo. gadam Advanced Persistent Threat (APT), Aizmugures durvis. gadā
Tulkot uz:
Latviešu

Ķīnas kiberspiegošanas grupa, kas pazīstama kā FamousSparrow, ir saistīta ar jauniem uzbrukumiem ASV tirdzniecības grupai un Meksikas pētniecības institūtam, izvietojot savu bēdīgi slaveno SparrowDoor aizmugures durvis kopā ar ShadowPad ļaunprogrammatūru. Šī darbība, kas tika novērota 2024. gada jūlijā, ir pirmā reize, kad grupa ir izmantojusi ShadowPad — rīku, ko bieži izmanto Ķīnas valsts sponsorēti dalībnieki.

SparrowDoor evolūcija: sarežģītāks drauds

FamousSparrow ir ieviesis divus jaunus SparrowDoor aizmugures durvju variantus, no kuriem viens ir modulārs. Šīs versijas ir ievērojams lēciens funkcionalitātē, ietverot paralēlu komandu izpildi, lai uzlabotu efektivitāti.

Tas ir nozīmīgs jauninājums no iepriekšējām versijām. Tas ļauj ļaunprātīgai programmatūrai izpildīt komandas, piemēram, failu darbības un interaktīvas čaulas sesijas, neapturot notiekošos uzdevumus.

Spiegošanas vēsture: Slavenā Sparrow ievērojamie uzbrukumi

Sākotnēji atklātais 2021. gada septembrī, FamousSparrow tika saistīts ar kiberuzbrukumiem viesnīcām, valdībām, inženieru firmām un advokātu birojiem. Grupa iepriekš ir darbojusies neatkarīgi, izmantojot SparrowDoor kā savu ekskluzīvo implantu.

Laika gaitā pētnieki ir novērojuši taktiskās līdzības starp FamousSparrow un citām ķīniešu hakeru grupām, piemēram, Earth Estries, GhostEmperor un Salt Typhoon , kas ir pazīstama ar mērķi telekomunikāciju sektorā. Tomēr, neskatoties uz šiem pārklāšanās gadījumiem, FamousSparrow joprojām tiek klasificēta kā atsevišķa draudu grupa ar unikālām īpašībām.

Uzbrukuma ķēde: kā risinājās pārkāpums

Uzbrukums sākas ar to, ka FamousSparrow ievainojamā IIS serverī izvieto tīmekļa čaulu. Lai gan precīza sākotnējās piekļuves iegūšanas metode joprojām nav zināma, abas ietekmētās organizācijas izmantoja novecojušas Windows un Microsoft Exchange Server versijas, padarot tās par galveno mērķi.

Kad tīmekļa apvalks ir ievietots, tas kalpo kā palaišanas panelis attālam pakešu skriptam. Šis skripts izpilda Base64 kodētu .NET tīmekļa čaulu, galu galā apdraudētajā sistēmā izvietojot gan SparrowDoor, gan ShadowPad.

Kā darbojas SparrowDoor: dziļi izpētiet tās iespējas

Vienam no jaunajiem SparrowDoor variantiem ir līdzības ar Crowdoor, iepriekš dokumentētu ļaunprātīgu programmatūru. Tomēr abās versijās ir ieviesti būtiski uzlabojumi, tostarp:

  • Paralēlā uzdevuma izpilde – aizmugures durvis var vienlaikus palaist vairākas komandas, uzlabojot veiktspēju.
  • Dinamiskā komandu apstrāde — komandas aktivizē jaunu pavedienu, kas izveido atsevišķu savienojumu ar Command-and-Control (C&C) serveri.
  • Upura izsekošana — katrs savienojums ietver unikālu upura ID un komandas ID, kas palīdz C&C serverim efektīvi pārvaldīt notiekošos uzdevumus.

SparrowDoor ir aprīkots ar virkni iespēju, kas uzlabo tā funkcionalitāti. Tas var izveidot starpniekserveri, nodrošināt slēptu saziņu un iniciēt interaktīvas čaulas sesijas, lai nodrošinātu komandu izpildi reāllaikā. Aizmugures durvis spēj arī apstrādāt dažādas failu darbības, tostarp failu lasīšanu, rakstīšanu un modificēšanu, vienlaikus uzskaitot failu sistēmu, lai kartētu pieejamos direktorijus un datus. Turklāt tajā tiek apkopota detalizēta resursdatora informācija, sniedzot uzbrucējiem ieskatu apdraudētajā sistēmā. Ja nepieciešams, SparrowDoor var pat pilnībā noņemt sevi, nodrošinot, ka tās klātbūtnes pēdas tiek izdzēstas.

Modulāra pieeja: SparrowDoor uzlabotā versija

Otrais, uzlabotais SparrowDoor variants ievieš modulāru, uz spraudņiem balstītu dizainu, paplašinot tā iespējas, izmantojot deviņus specializētus moduļus:

  • Cmd - izpildiet sistēmas komandas
  • CFile — pārvaldiet failu darbības
  • CKeylogPlug — reģistrējiet taustiņsitienus
  • CSocket — izveidojiet TCP starpniekserveri
  • CShell — sāciet interaktīvas čaulas sesijas
  • CTransf — pārsūtiet failus starp inficēto resursdatoru un C&C serveri
  • CRdp — ekrānuzņēmumu tveršana
  • CPro — uzskaitiet un pārtrauciet darbojošos procesus
  • CFileMoniter – izsekojiet failu sistēmas izmaiņas noteiktos direktorijos

Slavenais zvirbulis: joprojām aktīvs, joprojām attīstās

Šis nesenais aktivitāšu vilnis apstiprina, ka FamousSparrow ne tikai joprojām ir aktīvs, bet arī investē nepārtrauktā SparrowDoor aizmugures durvju attīstībā. Līdz ar modulāro iespēju ieviešanu un ShadowPad pieņemšanu grupa nepārprotami attīstās, radot vēl nozīmīgākus kiberdrošības draudus, kas virzās uz priekšu.

Tendences

Mail Cloud Server e-pasta krāpniecība

Pikšķerēšana, Mēstules
Internets ir piepildīts ar maldinošām shēmām, kas izstrādātas, lai izmantotu nenojaušus lietotājus, tādēļ ir svarīgi ievērot piesardzību, pārlūkojot un apstrādājot e-pastus. Pikšķerēšanas uzbrukumi, piemēram, Mail Cloud Server e-pasta krāpniecība, ir viens no visizplatītākajiem draudiem, izmantojot sociālās inženierijas taktikas, lai nozagtu sensitīvu informāciju. Izprotot, kā šī krāpniecība...

CVE-2025-24201 Ievainojamība

Neaizsargātība
Apple ir paziņojis par kritiska drošības atjauninājuma izlaišanu, lai novērstu nulles dienas ievainojamību, kas identificēta kā CVE-2025-24201. Šis trūkums, kas ir aktīvi izmantots “ārkārtīgi sarežģītos” uzbrukumos, ietekmē WebKit tīmekļa pārlūkprogrammas dzinēju. Problēma ir saistīta ar ārpus robežām esošu rakstīšanas ievainojamību, kas var ļaut uzbrucējiem apiet tīmekļa satura smilškaste,...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
28,661
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...