Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) SparrowDoor Bakdørsvarianter

SparrowDoor Bakdørsvarianter

Med Mezo i Advanced Persistent Threat (APT), Bakdører
Oversett til:
Norsk

Den kinesiske cyberspionasjegruppen kjent som FamousSparrow har blitt koblet til nye angrep på en amerikansk handelsgruppe og et meksikansk forskningsinstitutt, som distribuerer sin beryktede SparrowDoor- bakdør sammen med ShadowPad- malwaren. Aktiviteten, observert i juli 2024, markerer første gang gruppen har utnyttet ShadowPad, et verktøy som ofte brukes av kinesiske statsstøttede aktører.

The Evolution of SparrowDoor: A More Sophisticated Threat

FamousSparrow har introdusert to nye varianter av sin SparrowDoor-bakdør, hvorav den ene er modulær. Disse versjonene representerer et betydelig sprang i funksjonalitet, og inkluderer parallell utførelse av kommandoer for å øke effektiviteten.

Dette markerer en stor oppgradering fra tidligere versjoner. Den tillater skadelig programvare å utføre kommandoer som filoperasjoner og interaktive shell-økter uten å stoppe pågående oppgaver.

En historie om spionasje: FamousSparrows bemerkelsesverdige angrep

FamousSparrow ble først avdekket i september 2021, og har blitt koblet til cyberangrep på hoteller, myndigheter, ingeniørfirmaer og advokatkontorer. Konsernet har tidligere operert uavhengig og brukt SparrowDoor som sitt eksklusive implantat.

Over tid har forskere observert taktiske likheter mellom FamousSparrow og andre kinesiske hackergrupper som Earth Estries, GhostEmperor og Salt Typhoon , sistnevnte kjent for å sikte mot telekomsektoren. Men til tross for disse overlappingene, forblir FamousSparrow klassifisert som en distinkt trusselgruppe med unike egenskaper.

Angrepskjeden: Hvordan bruddet utviklet seg

Angrepet begynner med at FamousSparrow distribuerer et web-skall på en sårbar IIS-server. Selv om den nøyaktige metoden for å få førstegangstilgang forblir ukjent, kjørte begge berørte organisasjoner utdaterte versjoner av Windows og Microsoft Exchange Server, noe som gjorde dem til hovedmål.

Når nettskallet er på plass, fungerer det som en startrampe for et eksternt batchskript. Dette skriptet kjører et Base64-kodet .NET web-skall, og distribuerer til slutt både SparrowDoor og ShadowPad på det kompromitterte systemet.

Hvordan SparrowDoor Works: Et dypdykk i dens evner

En av de nye SparrowDoor-variantene deler likheter med Crowdoor, en tidligere dokumentert skadelig programvare. Begge versjonene introduserer imidlertid betydelige forbedringer, inkludert:

  • Parallell oppgavekjøring – Bakdøren kan kjøre flere kommandoer samtidig, noe som forbedrer ytelsen.
  • Dynamisk kommandohåndtering – Kommandoer utløser en ny tråd, som etablerer en separat tilkobling til Command-and-Control-serveren (C&C).
  • Offersporing – Hver tilkobling inkluderer en unik offer-ID og kommando-ID, som hjelper C&C-serveren med å administrere pågående oppgaver effektivt.

SparrowDoor er utstyrt med en rekke funksjoner som forbedrer funksjonaliteten. Den kan etablere en proxy, tillate skjult kommunikasjon og initiere interaktive shell-økter for å muliggjøre sanntidskommandoer. Bakdøren er også i stand til å håndtere ulike filoperasjoner, inkludert lesing, skriving og modifisering av filer, samtidig som den registrerer filsystemet for å kartlegge tilgjengelige kataloger og data. I tillegg samler den inn detaljert vertsinformasjon, og gir angripere innsikt i det kompromitterte systemet. Om nødvendig kan SparrowDoor til og med fjerne seg selv helt, og sikre at spor etter tilstedeværelsen blir slettet.

En modulær tilnærming: SparrowDoors forbedrede versjon

Den andre, mer avanserte SparrowDoor-varianten introduserer en modulær, plugin-basert design, og utvider mulighetene gjennom ni spesialiserte moduler:

  • Cmd – Utfør systemkommandoer
  • CFile – Administrer filoperasjoner
  • CKeylogPlug – Logg tastetrykk
  • CSocket – Etabler en TCP-proxy
  • CShell – Start interaktive shell-økter
  • CTransf – Overfør filer mellom den infiserte verten og C&C-serveren
  • CRdp – Ta skjermbilder
  • CPro – List opp og avslutt kjørende prosesser
  • CFileMoniter – Spor filsystemendringer i bestemte kataloger

FamousSparrow: Fortsatt aktiv, fortsatt i utvikling

Denne siste bølgen av aktivitet bekrefter at FamousSparrow ikke bare fortsatt er aktiv, men også investerer i den kontinuerlige utviklingen av sin SparrowDoor-bakdør. Med introduksjonen av modulære funksjoner og bruken av ShadowPad, er gruppen tydelig i utvikling, og utgjør en enda mer betydelig cybersikkerhetstrussel fremover.

Trender

Mest sett

Laster inn...