SparrowDoor Backdoor Variants

ਚੀਨੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ, ਜਿਸਨੂੰ ਫੇਮਸਸਪੈਰੋ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਇੱਕ ਅਮਰੀਕੀ ਵਪਾਰ ਸਮੂਹ ਅਤੇ ਇੱਕ ਮੈਕਸੀਕਨ ਖੋਜ ਸੰਸਥਾ 'ਤੇ ਤਾਜ਼ਾ ਹਮਲਿਆਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸਨੇ ਸ਼ੈਡੋਪੈਡ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ-ਨਾਲ ਆਪਣੇ ਬਦਨਾਮ ਸਪੈਰੋਡੋਰ ਬੈਕਡੋਰ ਨੂੰ ਤਾਇਨਾਤ ਕੀਤਾ ਹੈ। ਜੁਲਾਈ 2024 ਵਿੱਚ ਦੇਖੀ ਗਈ ਇਹ ਗਤੀਵਿਧੀ, ਪਹਿਲੀ ਵਾਰ ਹੈ ਜਦੋਂ ਸਮੂਹ ਨੇ ਸ਼ੈਡੋਪੈਡ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਇੱਕ ਸੰਦ ਜੋ ਅਕਸਰ ਚੀਨੀ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਸਪੈਰੋਡੋਰ ਦਾ ਵਿਕਾਸ: ਇੱਕ ਹੋਰ ਸੂਝਵਾਨ ਖ਼ਤਰਾ

ਫੇਮਸਸਪੈਰੋ ਨੇ ਆਪਣੇ ਸਪੈਰੋਡੋਰ ਬੈਕਡੋਰ ਦੇ ਦੋ ਨਵੇਂ ਰੂਪ ਪੇਸ਼ ਕੀਤੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਮਾਡਿਊਲਰ ਹੈ। ਇਹ ਸੰਸਕਰਣ ਕਾਰਜਸ਼ੀਲਤਾ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਛਾਲ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ, ਕੁਸ਼ਲਤਾ ਵਧਾਉਣ ਲਈ ਕਮਾਂਡਾਂ ਦੇ ਸਮਾਨਾਂਤਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹੋਏ।

ਇਹ ਪਿਛਲੇ ਵਰਜਨਾਂ ਤੋਂ ਇੱਕ ਵੱਡਾ ਅਪਗ੍ਰੇਡ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਚੱਲ ਰਹੇ ਕੰਮਾਂ ਨੂੰ ਰੋਕੇ ਬਿਨਾਂ ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਅਤੇ ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਸੈਸ਼ਨ ਵਰਗੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਜਾਸੂਸੀ ਦਾ ਇਤਿਹਾਸ: ਮਸ਼ਹੂਰ ਚਿੜੀ ਦੇ ਮਹੱਤਵਪੂਰਨ ਹਮਲੇ

ਸਤੰਬਰ 2021 ਵਿੱਚ ਸ਼ੁਰੂ ਵਿੱਚ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ, ਫੇਮਸਸਪੈਰੋ ਨੂੰ ਹੋਟਲਾਂ, ਸਰਕਾਰਾਂ, ਇੰਜੀਨੀਅਰਿੰਗ ਫਰਮਾਂ ਅਤੇ ਕਾਨੂੰਨ ਦਫਤਰਾਂ 'ਤੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਸਮੂਹ ਪਹਿਲਾਂ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਰਿਹਾ ਹੈ, ਸਪੈਰੋਡੋਰ ਨੂੰ ਆਪਣੇ ਵਿਸ਼ੇਸ਼ ਇਮਪਲਾਂਟ ਵਜੋਂ ਵਰਤਦਾ ਰਿਹਾ ਹੈ।

ਸਮੇਂ ਦੇ ਨਾਲ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਫੇਮਸਸਪੈਰੋ ਅਤੇ ਹੋਰ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਜਿਵੇਂ ਕਿ ਅਰਥ ਐਸਟਰੀਜ਼, ਗੋਸਟਐਮਪਰਰ, ਅਤੇ ਸਾਲਟ ਟਾਈਫੂਨ ਵਿਚਕਾਰ ਰਣਨੀਤਕ ਸਮਾਨਤਾਵਾਂ ਵੇਖੀਆਂ ਹਨ, ਜੋ ਕਿ ਬਾਅਦ ਵਾਲੇ ਟੈਲੀਕਾਮ ਸੈਕਟਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਇਹਨਾਂ ਓਵਰਲੈਪਾਂ ਦੇ ਬਾਵਜੂਦ, ਫੇਮਸਸਪੈਰੋ ਨੂੰ ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਾਲੇ ਇੱਕ ਵੱਖਰੇ ਖ਼ਤਰੇ ਵਾਲੇ ਸਮੂਹ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ।

ਹਮਲੇ ਦੀ ਲੜੀ: ਉਲੰਘਣਾ ਕਿਵੇਂ ਖੁੱਲ੍ਹੀ

ਇਹ ਹਮਲਾ ਫੇਮਸਸਪੈਰੋ ਦੁਆਰਾ ਇੱਕ ਕਮਜ਼ੋਰ IIS ਸਰਵਰ 'ਤੇ ਇੱਕ ਵੈੱਬ ਸ਼ੈੱਲ ਦੀ ਤਾਇਨਾਤੀ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਣਜਾਣ ਹੈ, ਦੋਵੇਂ ਪ੍ਰਭਾਵਿਤ ਸੰਗਠਨ ਵਿੰਡੋਜ਼ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰ ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਚਲਾ ਰਹੇ ਸਨ, ਜਿਸ ਕਾਰਨ ਉਹ ਮੁੱਖ ਨਿਸ਼ਾਨਾ ਬਣ ਗਏ ਸਨ।

ਇੱਕ ਵਾਰ ਵੈੱਬ ਸ਼ੈੱਲ ਜਗ੍ਹਾ 'ਤੇ ਆ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਰਿਮੋਟ ਬੈਚ ਸਕ੍ਰਿਪਟ ਲਈ ਇੱਕ ਲਾਂਚਪੈਡ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਇੱਕ Base64-ਏਨਕੋਡਡ .NET ਵੈੱਬ ਸ਼ੈੱਲ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ, ਅੰਤ ਵਿੱਚ ਸਪੈਰੋਡੋਰ ਅਤੇ ਸ਼ੈਡੋਪੈਡ ਦੋਵਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਤੈਨਾਤ ਕਰਦੀ ਹੈ।

ਸਪੈਰੋਡੋਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ: ਇਸਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਇੱਕ ਡੂੰਘਾਈ ਨਾਲ ਡੁੱਬਕੀ ਲਗਾਓ

ਨਵੇਂ ਸਪੈਰੋਡੋਰ ਵੇਰੀਐਂਟ ਵਿੱਚੋਂ ਇੱਕ ਕ੍ਰੋਡੋਰ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਰੱਖਦਾ ਹੈ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਮਾਲਵੇਅਰ ਹੈ। ਹਾਲਾਂਕਿ, ਦੋਵੇਂ ਸੰਸਕਰਣ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਪੇਸ਼ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਮਾਨਾਂਤਰ ਕਾਰਜ ਐਗਜ਼ੀਕਿਊਸ਼ਨ - ਬੈਕਡੋਰ ਇੱਕੋ ਸਮੇਂ ਕਈ ਕਮਾਂਡਾਂ ਚਲਾ ਸਕਦਾ ਹੈ, ਪ੍ਰਦਰਸ਼ਨ ਵਿੱਚ ਸੁਧਾਰ ਕਰਦਾ ਹੈ।
• ਡਾਇਨਾਮਿਕ ਕਮਾਂਡ ਹੈਂਡਲਿੰਗ - ਕਮਾਂਡਾਂ ਇੱਕ ਨਵਾਂ ਥ੍ਰੈੱਡ ਟਰਿੱਗਰ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਨਾਲ ਇੱਕ ਵੱਖਰਾ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
• ਪੀੜਤ ਟਰੈਕਿੰਗ - ਹਰੇਕ ਕਨੈਕਸ਼ਨ ਵਿੱਚ ਇੱਕ ਵਿਲੱਖਣ ਪੀੜਤ ਆਈਡੀ ਅਤੇ ਕਮਾਂਡ ਆਈਡੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ, ਜੋ ਸੀ ਐਂਡ ਸੀ ਸਰਵਰ ਨੂੰ ਚੱਲ ਰਹੇ ਕੰਮਾਂ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਪ੍ਰਬੰਧਿਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।

ਸਪੈਰੋਡੋਰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ ਜੋ ਇਸਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਂਦੀਆਂ ਹਨ। ਇਹ ਇੱਕ ਪ੍ਰੌਕਸੀ ਸਥਾਪਤ ਕਰ ਸਕਦਾ ਹੈ, ਗੁਪਤ ਸੰਚਾਰ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦਾ ਹੈ, ਅਤੇ ਰੀਅਲ-ਟਾਈਮ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਸੈਸ਼ਨ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ। ਬੈਕਡੋਰ ਵੱਖ-ਵੱਖ ਫਾਈਲ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਸੰਭਾਲਣ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨਾ, ਲਿਖਣਾ ਅਤੇ ਸੋਧਣਾ ਸ਼ਾਮਲ ਹੈ, ਜਦੋਂ ਕਿ ਇੱਕੋ ਸਮੇਂ ਉਪਲਬਧ ਡਾਇਰੈਕਟਰੀਆਂ ਅਤੇ ਡੇਟਾ ਨੂੰ ਮੈਪ ਕਰਨ ਲਈ ਫਾਈਲ ਸਿਸਟਮ ਦੀ ਗਿਣਤੀ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਵਿਸਤ੍ਰਿਤ ਹੋਸਟ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਵਿੱਚ ਸੂਝ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਲੋੜ ਹੋਵੇ, ਤਾਂ ਸਪੈਰੋਡੋਰ ਆਪਣੇ ਆਪ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਹਟਾ ਵੀ ਸਕਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ ਕਿ ਇਸਦੀ ਮੌਜੂਦਗੀ ਦੇ ਨਿਸ਼ਾਨ ਮਿਟਾਏ ਗਏ ਹਨ।

ਇੱਕ ਮਾਡਯੂਲਰ ਪਹੁੰਚ: ਸਪੈਰੋਡੋਰ ਦਾ ਵਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ

ਦੂਜਾ, ਵਧੇਰੇ ਉੱਨਤ ਸਪੈਰੋਡੋਰ ਵੇਰੀਐਂਟ ਇੱਕ ਮਾਡਯੂਲਰ, ਪਲੱਗਇਨ-ਅਧਾਰਿਤ ਡਿਜ਼ਾਈਨ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਨੌਂ ਵਿਸ਼ੇਸ਼ ਮਾਡਿਊਲਾਂ ਰਾਹੀਂ ਆਪਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਦਾ ਹੈ:

• ਸੀਐਮਡੀ - ਸਿਸਟਮ ਕਮਾਂਡਾਂ ਚਲਾਓ
• CFile - ਫਾਈਲ ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰੋ
• CKeylogPlug - ਕੀਸਟ੍ਰੋਕ ਲੌਗ ਕਰੋ
• CSocket – ਇੱਕ TCP ਪ੍ਰੌਕਸੀ ਸਥਾਪਤ ਕਰੋ
• CShell - ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ ਸੈਸ਼ਨ ਸ਼ੁਰੂ ਕਰੋ
• CTransf - ਸੰਕਰਮਿਤ ਹੋਸਟ ਅਤੇ C&C ਸਰਵਰ ਵਿਚਕਾਰ ਫਾਈਲਾਂ ਟ੍ਰਾਂਸਫਰ ਕਰੋ।
• CRdp – ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰੋ
• CPro - ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਸੂਚੀ ਬਣਾਓ ਅਤੇ ਸਮਾਪਤ ਕਰੋ
• CFileMoniter - ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਫਾਈਲ ਸਿਸਟਮ ਬਦਲਾਵਾਂ ਨੂੰ ਟਰੈਕ ਕਰੋ

ਮਸ਼ਹੂਰ ਸਪੈਰੋ: ਅਜੇ ਵੀ ਸਰਗਰਮ, ਅਜੇ ਵੀ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ

ਗਤੀਵਿਧੀ ਦੀ ਇਹ ਹਾਲੀਆ ਲਹਿਰ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀ ਹੈ ਕਿ ਫੇਮਸਸਪੈਰੋ ਨਾ ਸਿਰਫ਼ ਅਜੇ ਵੀ ਸਰਗਰਮ ਹੈ, ਸਗੋਂ ਆਪਣੇ ਸਪੈਰੋਡੋਰ ਬੈਕਡੋਰ ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਵਿੱਚ ਵੀ ਨਿਵੇਸ਼ ਕਰ ਰਿਹਾ ਹੈ। ਮਾਡਿਊਲਰ ਸਮਰੱਥਾਵਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਅਤੇ ਸ਼ੈਡੋਪੈਡ ਨੂੰ ਅਪਣਾਉਣ ਦੇ ਨਾਲ, ਸਮੂਹ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ, ਜੋ ਅੱਗੇ ਵਧਦੇ ਹੋਏ ਇੱਕ ਹੋਰ ਵੀ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖ਼ਤਰਾ ਪੇਸ਼ ਕਰ ਰਿਹਾ ਹੈ।