स्प्यारोडोर ब्याकडोर भेरियन्टहरू
फेमसस्पेरो भनेर चिनिने चिनियाँ साइबर जासुसी समूहलाई अमेरिकी व्यापार समूह र मेक्सिकन अनुसन्धान संस्थानमाथि भएका ताजा आक्रमणहरूसँग जोडिएको छ, जसले आफ्नो कुख्यात स्पेरोडोर ब्याकडोरलाई शैडोप्याड मालवेयरसँगै तैनाथ गरेको छ। जुलाई २०२४ मा अवलोकन गरिएको यो गतिविधिले पहिलो पटक समूहले शैडोप्याडलाई प्रयोग गरेको संकेत गर्दछ, जुन चिनियाँ राज्य-प्रायोजित अभिनेताहरू द्वारा बारम्बार प्रयोग गरिने उपकरण हो।
सामग्रीको तालिका
स्प्यारोडोरको विकास: एक थप परिष्कृत खतरा
फेमसस्पेरोले आफ्नो स्पेरोडोर ब्याकडोरका दुई नयाँ भेरियन्टहरू प्रस्तुत गरेको छ, जसमध्ये एउटा मोड्युलर हो। यी संस्करणहरूले कार्यक्षमतामा महत्त्वपूर्ण छलांग प्रतिनिधित्व गर्दछ, दक्षता बढाउन आदेशहरूको समानान्तर कार्यान्वयन समावेश गर्दछ।
यो पहिलेका संस्करणहरूबाट एक प्रमुख अपग्रेड हो। यसले मालवेयरलाई चलिरहेका कार्यहरू नरोकेर फाइल अपरेशन र अन्तरक्रियात्मक शेल सत्रहरू जस्ता आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ।
जासुसीको इतिहास: प्रसिद्ध भँगेराको उल्लेखनीय आक्रमणहरू
सेप्टेम्बर २०२१ मा सुरुमा पत्ता लागेको फेमसस्पेरो होटल, सरकार, इन्जिनियरिङ फर्म र कानून कार्यालयहरूमा साइबर आक्रमणसँग जोडिएको छ। समूहले पहिले स्पेरोडोरलाई यसको विशेष इम्प्लान्टको रूपमा प्रयोग गरेर स्वतन्त्र रूपमा सञ्चालन गर्दै आएको छ।
समय बित्दै जाँदा, अनुसन्धानकर्ताहरूले फेमसस्पेरो र अर्थ एस्ट्रीज, घोस्टएम्पेरर र साल्ट टाइफुन जस्ता अन्य चिनियाँ ह्याकिङ समूहहरू बीच रणनीतिक समानताहरू देखेका छन्, जुन पछिल्ला दूरसञ्चार क्षेत्रलाई लक्षित गर्नका लागि परिचित छन्। यद्यपि, यी ओभरल्यापहरूको बावजुद, फेमसस्पेरोलाई अद्वितीय विशेषताहरू भएको एक विशिष्ट खतरा समूहको रूपमा वर्गीकृत गरिएको छ।
आक्रमणको शृङ्खला: कसरी उल्लङ्घन प्रकट भयो
आक्रमण फेमसस्पेरोले कमजोर IIS सर्भरमा वेब शेल तैनाथ गरेपछि सुरु हुन्छ। प्रारम्भिक पहुँच प्राप्त गर्ने सही विधि अज्ञात भए पनि, दुवै प्रभावित संस्थाहरूले विन्डोज र माइक्रोसफ्ट एक्सचेन्ज सर्भरको पुरानो संस्करणहरू चलाइरहेका थिए, जसले गर्दा उनीहरू प्रमुख लक्ष्य बनेका थिए।
एक पटक वेब शेल ठाउँमा भएपछि, यसले रिमोट ब्याच स्क्रिप्टको लागि लन्चप्याडको रूपमा काम गर्दछ। यो स्क्रिप्टले Base64-इनकोडेड .NET वेब शेल कार्यान्वयन गर्दछ, अन्ततः SparrowDoor र ShadowPad दुवैलाई सम्झौता गरिएको प्रणालीमा तैनाथ गर्दछ।
स्प्यारोडोरले कसरी काम गर्छ: यसको क्षमताहरूमा गहिरो डुबकी
नयाँ स्प्यारोडोर भेरियन्टहरू मध्ये एकले पहिले दस्तावेज गरिएको मालवेयर , क्राउडोरसँग समानताहरू साझा गर्दछ। यद्यपि, दुबै संस्करणहरूले उल्लेखनीय सुधारहरू प्रस्तुत गर्दछ, जसमा समावेश छन्:
- समानान्तर कार्य कार्यान्वयन - ब्याकडोरले एकै पटकमा धेरै आदेशहरू चलाउन सक्छ, जसले कार्यसम्पादनमा सुधार ल्याउँछ।
- गतिशील आदेश ह्यान्डलिङ - आदेशहरूले नयाँ थ्रेड ट्रिगर गर्दछ, जसले आदेश-र-नियन्त्रण (C&C) सर्भरमा छुट्टै जडान स्थापना गर्दछ।
- पीडित ट्र्याकिङ - प्रत्येक जडानमा एक अद्वितीय पीडित आईडी र कमाण्ड आईडी समावेश हुन्छ, जसले सी एन्ड सी सर्भरलाई चलिरहेका कार्यहरू कुशलतापूर्वक व्यवस्थापन गर्न मद्दत गर्दछ।
SparrowDoor विभिन्न क्षमताहरूसँग सुसज्जित छ जसले यसको कार्यक्षमता बढाउँछ। यसले प्रोक्सी स्थापना गर्न, गोप्य सञ्चारको लागि अनुमति दिन र वास्तविक-समय आदेश कार्यान्वयन सक्षम गर्न अन्तरक्रियात्मक शेल सत्रहरू सुरु गर्न सक्छ। ब्याकडोरले विभिन्न फाइल अपरेसनहरू ह्यान्डल गर्न पनि सक्षम छ, जसमा पढ्ने, लेख्ने र फाइलहरू परिमार्जन गर्ने समावेश छ, जबकि एकै साथ उपलब्ध निर्देशिकाहरू र डेटा नक्सा गर्न फाइल प्रणालीको गणना गर्दछ। थप रूपमा, यसले विस्तृत होस्ट जानकारी सङ्कलन गर्दछ, आक्रमणकारीहरूलाई सम्झौता गरिएको प्रणालीमा अन्तर्दृष्टि प्रदान गर्दछ। आवश्यक परेमा, SparrowDoor ले आफूलाई पूर्ण रूपमा हटाउन पनि सक्छ, यो सुनिश्चित गर्दै कि यसको उपस्थितिको निशानहरू मेटाइएका छन्।
मोड्युलर दृष्टिकोण: स्प्यारोडोरको परिष्कृत संस्करण
दोस्रो, अझ उन्नत SparrowDoor भेरियन्टले मोड्युलर, प्लगइन-आधारित डिजाइन प्रस्तुत गर्दछ, जसले नौ विशेष मोड्युलहरू मार्फत यसको क्षमताहरू विस्तार गर्दछ:
- Cmd - प्रणाली आदेशहरू कार्यान्वयन गर्नुहोस्
- CFile - फाइल सञ्चालनहरू व्यवस्थापन गर्नुहोस्
- CKeylogPlug - लग किस्ट्रोकहरू
- CSocket – TCP प्रोक्सी स्थापना गर्नुहोस्
- CShell - अन्तरक्रियात्मक शेल सत्रहरू सुरु गर्नुहोस्
- CTransf - संक्रमित होस्ट र C&C सर्भर बीच फाइलहरू स्थानान्तरण गर्नुहोस्।
- CRdp – स्क्रिनसटहरू खिच्नुहोस्
- CPro - चलिरहेका प्रक्रियाहरूको सूची बनाउनुहोस् र समाप्त गर्नुहोस्
- CFileMoniter - विशिष्ट निर्देशिकाहरूमा फाइल प्रणाली परिवर्तनहरू ट्र्याक गर्नुहोस्
प्रसिद्ध भँगेरा: अझै सक्रिय, अझै विकसित हुँदै
गतिविधिको यो हालैको लहरले पुष्टि गर्छ कि फेमसस्पेरो अझै पनि सक्रिय मात्र छैन तर यसको स्पेरोडोर ब्याकडोरको निरन्तर विकासमा पनि लगानी गरिरहेको छ। मोड्युलर क्षमताहरूको परिचय र ShadowPad को अपनाइसँगै, समूह स्पष्ट रूपमा विकसित हुँदैछ, जसले अगाडि बढ्दै अझ महत्त्वपूर्ण साइबर सुरक्षा खतरा खडा गर्दैछ।
