Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Warianty tylnych drzwi SparrowDoor

Warianty tylnych drzwi SparrowDoor

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:
Polski

Chińska grupa cybernetycznego szpiegostwa znana jako FamousSparrow została powiązana z nowymi atakami na amerykańską grupę handlową i meksykański instytut badawczy, wdrażając swój niesławny backdoor SparrowDoor wraz ze złośliwym oprogramowaniem ShadowPad . Aktywność zaobserwowana w lipcu 2024 r. oznacza pierwszy raz, kiedy grupa wykorzystała ShadowPad, narzędzie często używane przez chińskich aktorów sponsorowanych przez państwo.

Ewolucja SparrowDoor: bardziej wyrafinowane zagrożenie

FamousSparrow wprowadziło dwie nowe wersje swojego backdoora SparrowDoor, z których jedna jest modułowa. Te wersje stanowią znaczący skok w funkcjonalności, obejmując równoległe wykonywanie poleceń w celu zwiększenia wydajności.

Oznacza to znaczącą aktualizację w stosunku do wcześniejszych wersji. Pozwala złośliwemu oprogramowaniu wykonywać polecenia, takie jak operacje na plikach i interaktywne sesje powłoki, bez zatrzymywania bieżących zadań.

Historia szpiegostwa: Znane ataki FamousSparrow

Początkowo odkryta we wrześniu 2021 r. firma FamousSparrow została powiązana z cyberatakami na hotele, rządy, firmy inżynieryjne i kancelarie prawne. Grupa działała wcześniej niezależnie, wykorzystując SparrowDoor jako swój wyłączny implant.

Z czasem badacze zaobserwowali podobieństwa taktyczne między FamousSparrow a innymi chińskimi grupami hakerskimi, takimi jak Earth Estries, GhostEmperor i Salt Typhoon , z których ta ostatnia jest znana z atakowania sektora telekomunikacyjnego. Jednak pomimo tych podobieństw FamousSparrow pozostaje klasyfikowany jako odrębna grupa zagrożeń o unikalnych cechach.

Łańcuch ataku: jak doszło do naruszenia

Atak rozpoczyna się od wdrożenia powłoki internetowej FamousSparrow na podatnym serwerze IIS. Podczas gdy dokładna metoda uzyskania początkowego dostępu pozostaje nieznana, obie dotknięte organizacje korzystały ze starych wersji systemu Windows i Microsoft Exchange Server, co czyni je głównymi celami.

Gdy powłoka internetowa jest już na miejscu, służy jako platforma startowa dla zdalnego skryptu wsadowego. Ten skrypt wykonuje powłokę internetową .NET zakodowaną w Base64, ostatecznie wdrażając SparrowDoor i ShadowPad w zagrożonym systemie.

Jak działa SparrowDoor: Głębokie zanurzenie w jego możliwościach

Jedna z nowych odmian SparrowDoor ma podobieństwa do Crowdoor, wcześniej udokumentowanego złośliwego oprogramowania. Jednak obie wersje wprowadzają znaczące ulepszenia, w tym:

  • Równoległe wykonywanie zadań – tylne wejście może uruchamiać wiele poleceń jednocześnie, co zwiększa wydajność.
  • Dynamiczna obsługa poleceń – polecenia wyzwalają nowy wątek, który nawiązuje osobne połączenie z serwerem poleceń i kontroli (C&C).
  • Śledzenie ofiar – każde połączenie zawiera unikalny identyfikator ofiary i identyfikator polecenia, co pomaga serwerowi C&C w efektywnym zarządzaniu bieżącymi zadaniami.

SparrowDoor jest wyposażony w szereg możliwości, które zwiększają jego funkcjonalność. Może ustanowić serwer proxy, umożliwić tajną komunikację i zainicjować interaktywne sesje powłoki, aby umożliwić wykonywanie poleceń w czasie rzeczywistym. Backdoor jest również w stanie obsługiwać różne operacje na plikach, w tym odczytywanie, zapisywanie i modyfikowanie plików, jednocześnie wyliczając system plików w celu mapowania dostępnych katalogów i danych. Ponadto zbiera szczegółowe informacje o hoście, zapewniając atakującym wgląd w naruszony system. W razie potrzeby SparrowDoor może nawet całkowicie usunąć siebie, zapewniając, że ślady jego obecności zostaną usunięte.

Podejście modułowe: udoskonalona wersja SparrowDoor

Druga, bardziej zaawansowana wersja SparrowDoor charakteryzuje się modułową konstrukcją opartą na wtyczkach, rozszerzającą swoje możliwości o dziewięć wyspecjalizowanych modułów:

  • Cmd – Wykonuje polecenia systemowe
  • CFile – Zarządzanie operacjami na plikach
  • CKeylogPlug – Rejestruj naciśnięcia klawiszy
  • CSocket – Ustanów serwer proxy TCP
  • CShell – Inicjuj interaktywne sesje powłoki
  • CTransf – przesyłanie plików pomiędzy zainfekowanym hostem a serwerem C&C
  • CRdp – Przechwytywanie zrzutów ekranu
  • CPro – Wyświetlanie listy i kończenie uruchomionych procesów
  • CFileMoniter – śledzenie zmian w systemie plików w określonych katalogach

FamousSparrow: Nadal aktywny, nadal się rozwijający

Ta ostatnia fala aktywności potwierdza, że FamousSparrow nie tylko jest nadal aktywny, ale także inwestuje w ciągły rozwój swojego backdoora SparrowDoor. Wraz z wprowadzeniem modułowych możliwości i przyjęciem ShadowPad, grupa wyraźnie ewoluuje, stwarzając jeszcze poważniejsze zagrożenie dla cyberbezpieczeństwa w przyszłości.

Popularne

Oszustwo związane z pocztą e-mail na serwerze w chmurze

Phishing, Spam
Internet jest pełen oszukańczych schematów mających na celu wykorzystanie nieświadomych użytkowników, dlatego konieczne jest zachowanie ostrożności podczas przeglądania i obsługi wiadomości e-mail. Ataki phishingowe, takie jak oszustwo e-mailowe Mail Cloud Server, należą do najczęstszych zagrożeń, wykorzystujących taktyki socjotechniczne w celu kradzieży poufnych informacji. Rozumiejąc, jak...

Najczęściej oglądane

Ładowanie...