Varian Pintu Belakang SparrowDoor

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), Pintu belakang

Terjemahkan ke

Kumpulan pengintipan siber China yang dikenali sebagai FamousSparrow telah dikaitkan dengan serangan baru ke atas kumpulan perdagangan AS dan institut penyelidikan Mexico, menggunakan pintu belakang SparrowDoor yang terkenal di samping perisian hasad ShadowPad . Aktiviti itu, yang diperhatikan pada Julai 2024, menandakan kali pertama kumpulan itu memanfaatkan ShadowPad, alat yang sering digunakan oleh pelakon tajaan kerajaan China.

Isi kandungan

Evolusi SparrowDoor: Ancaman yang Lebih Canggih

FamousSparrow telah memperkenalkan dua varian baharu pintu belakang SparrowDoornya, salah satunya adalah modular. Versi ini mewakili lonjakan ketara dalam fungsi, menggabungkan pelaksanaan selari arahan untuk meningkatkan kecekapan.

Ini menandakan peningkatan besar daripada versi terdahulu. Ia membenarkan perisian hasad untuk melaksanakan arahan seperti operasi fail dan sesi shell interaktif tanpa menghalang tugas yang sedang dijalankan.

Sejarah Pengintipan: Serangan Terkenal FamousSparrow

Pada mulanya ditemui pada September 2021, FamousSparrow telah dikaitkan dengan serangan siber ke atas hotel, kerajaan, firma kejuruteraan dan pejabat undang-undang. Kumpulan itu sebelum ini telah beroperasi secara bebas, menggunakan SparrowDoor sebagai implan eksklusifnya.

Dari masa ke masa, penyelidik telah memerhatikan persamaan taktikal antara FamousSparrow dan kumpulan penggodaman Cina yang lain seperti Earth Estries, GhostEmperor dan Salt Typhoon , yang terkenal kerana menyasarkan sektor telekomunikasi. Walau bagaimanapun, walaupun terdapat pertindihan ini, FamousSparrow kekal diklasifikasikan sebagai kumpulan ancaman yang berbeza dengan ciri unik.

Rantaian Serangan: Bagaimana Pelanggaran Terjadi

Serangan bermula dengan FamousSparrow menggunakan shell web pada pelayan IIS yang terdedah. Walaupun kaedah yang tepat untuk mendapatkan akses awal masih tidak diketahui, kedua-dua organisasi yang terjejas menjalankan versi Windows dan Microsoft Exchange Server yang sudah lapuk, menjadikannya sasaran utama.

Sebaik sahaja cangkerang web berada di tempatnya, ia berfungsi sebagai pad pelancar untuk skrip kelompok jauh. Skrip ini melaksanakan shell web .NET yang dikodkan Base64, akhirnya menggunakan kedua-dua SparrowDoor dan ShadowPad pada sistem yang terjejas.

Cara SparrowDoor Berfungsi: Menyelam Dalam Keupayaannya

Salah satu varian SparrowDoor baharu berkongsi persamaan dengan Crowdoor, perisian hasad yang telah didokumenkan sebelum ini. Walau bagaimanapun, kedua-dua versi memperkenalkan peningkatan yang ketara, termasuk:

Pelaksanaan tugas selari – Pintu belakang boleh menjalankan berbilang arahan serentak, meningkatkan prestasi.
Pengendalian arahan dinamik – Perintah mencetuskan urutan baharu, yang mewujudkan sambungan berasingan ke pelayan Perintah-dan-Kawalan (C&C).
Penjejakan mangsa – Setiap sambungan termasuk ID mangsa dan ID arahan yang unik, membantu pelayan C&C mengurus tugas yang sedang berjalan dengan cekap.

SparrowDoor dilengkapi dengan pelbagai keupayaan yang meningkatkan fungsinya. Ia boleh mewujudkan proksi, membenarkan komunikasi rahsia dan memulakan sesi shell interaktif untuk membolehkan pelaksanaan perintah masa nyata. Pintu belakang juga mampu mengendalikan pelbagai operasi fail, termasuk membaca, menulis, dan mengubah suai fail, sambil menyenaraikan sistem fail secara serentak untuk memetakan direktori dan data yang tersedia. Selain itu, ia mengumpulkan maklumat hos terperinci, memberikan penyerang dengan cerapan tentang sistem yang terjejas. Jika perlu, SparrowDoor malah boleh mengeluarkan dirinya sepenuhnya, memastikan kesan kehadirannya dipadamkan.

Pendekatan Modular: Versi Dipertingkat SparrowDoor

Varian SparrowDoor kedua yang lebih maju memperkenalkan reka bentuk berasaskan pemalam modular, mengembangkan keupayaannya melalui sembilan modul khusus:

Cmd – Laksanakan arahan sistem
CFile – Urus operasi fail
CKeylogPlug – Log ketukan kekunci
CSocket – Wujudkan proksi TCP
CShell – Mulakan sesi shell interaktif
CTransf – Pindahkan fail antara hos yang dijangkiti dan pelayan C&C
CRdp – Tangkap tangkapan skrin
CPro – Senaraikan dan tamatkan proses yang sedang berjalan
CFileMoniter – Jejaki perubahan sistem fail dalam direktori tertentu

FamousSparrow: Masih Aktif, Masih Berkembang

Gelombang aktiviti baru-baru ini mengesahkan bahawa FamousSparrow bukan sahaja masih aktif tetapi juga melabur dalam pembangunan berterusan pintu belakang SparrowDoornya. Dengan pengenalan keupayaan modular dan penggunaan ShadowPad, kumpulan itu jelas berkembang, menimbulkan ancaman keselamatan siber yang lebih ketara pada masa hadapan.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Varian Pintu Belakang SparrowDoor

Evolusi SparrowDoor: Ancaman yang Lebih Canggih

Sejarah Pengintipan: Serangan Terkenal FamousSparrow

Rantaian Serangan: Bagaimana Pelanggaran Terjadi

Cara SparrowDoor Berfungsi: Menyelam Dalam Keupayaannya

Pendekatan Modular: Versi Dipertingkat SparrowDoor

FamousSparrow: Masih Aktif, Masih Berkembang

hantar komen

Trending

Behavior:Win64/Shaolaod.A Malware

Penipuan E-mel Pelayan Awan Mel

CVE-2025-24201 Kerentanan

Paling banyak dilihat

Penipuan E-mel 'Geek Squad'

Perisian hasad

Timbul Timbul 'iPhone Anda Telah Digodam'