MusDeur

SparrowDoor is de belangrijkste bedreiging die wordt gebruikt door een nieuw ontdekte APT-groep (Advanced Persistent Threat) die wordt gevolgd als FamousSparrow . De hackers lijken zich te richten op hotels over de hele wereld met de bedoeling gegevens over te hevelen. Bij verschillende gelegenheden heeft FamousSparrow ook ingenieursbureaus, advocatenkantoren en overheidsorganisaties gecompromitteerd.

De inzet van SparrowDoor

De achterdeur van SparrowDoor wordt op de computer van het slachtoffer afgeleverd via een lader die gebruikmaakt van DLL-kaping. De lader gebruikt drie elementen: een legitiem uitvoerbaar bestand van K& Computing (Indexer.exe), een beschadigd DLL-bestand (K7UI.dll) en een versleutelde shellcode (MpSvc.dll). Alle drie worden in de map %PROGRAMDATA%\Software\ geplaatst.

Om persistentie vast te stellen, vertrouwt SparrowDoor op een Registry Run-sleutel en een service die is gemaakt en gestart met behulp van de configuratiegegevens die hard gecodeerd zijn in het binaire bestand van de malware. Daarna probeert het zijn privileges te verhogen door het toegangstoken van zijn proces aan te passen. De laatste stap omvat het verzenden van systeemgegevens naar de Command-and-Control (C2, C&C)-server en vervolgens wachten op binnenkomende commando's.

Dreigende functionaliteit

SparrowDoor herkent meer dan 10 verschillende commando's. Het kan het bestandssysteem op de gecompromitteerde machine manipuleren - bestanden maken, hernoemen en verwijderen. Het kan ook verschillende gegevens naar de server exfiltreren, waaronder bestandsinformatie (bestandskenmerken, bestandsgrootte en schrijftijd van bestanden) en de inhoud van gespecificeerde bestanden. De malware kan huidige processen beëindigen en een interactieve reverse shell opzetten. Als de hackers hun sporen moeten maskeren, kunnen ze SparrowDoor opdracht geven om het persistentiemechanisme te verwijderen en de bestanden te verwijderen.