WróbelDrzwi

SparrowDoor jest głównym zagrożeniem wykorzystywanym przez nowo odkrytą grupę APT (Advanced Persistent Threat) śledzoną jako FamousSparrow . Wydaje się, że hakerzy atakują hotele na całym świecie z zamiarem wyprowadzania danych. Przy różnych okazjach FamousSparrow skompromitował również firmy inżynieryjne, kancelarie prawne i organizacje rządowe.

Wdrożenie SparrowDoor

Backdoor SparrowDoor jest dostarczany do komputera ofiary za pośrednictwem programu ładującego wykorzystującego przejęcie DLL. Program ładujący wykorzystuje trzy elementy - legalny plik wykonywalny K& Computing (Indexer.exe), uszkodzony plik DLL (K7UI.dll) oraz zaszyfrowany kod powłoki (MpSvc.dll). Wszystkie trzy są umieszczane w folderze %PROGRAMDATA%\Software\.

Aby ustalić trwałość, SparrowDoor wykorzystuje klucz Registry Run oraz usługę utworzoną i uruchomioną przy użyciu danych konfiguracyjnych zakodowanych na sztywno w pliku binarnym złośliwego oprogramowania. Następnie próbuje eskalować swoje uprawnienia, dostosowując token dostępu swojego procesu. Ostatni krok obejmuje wysłanie danych systemowych do serwera Command-and-Control (C2, C&C), a następnie oczekiwanie na przychodzące polecenia.

Groźna funkcjonalność

SparrowDoor rozpoznaje ponad 10 różnych poleceń. Może manipulować systemem plików na zaatakowanej maszynie - tworząc, zmieniając nazwy i usuwając pliki. Przenosi również różne dane na serwer, w tym informacje o plikach (atrybuty pliku, rozmiar pliku i czas zapisu) oraz zawartość określonych plików. Złośliwe oprogramowanie może zakończyć bieżące procesy i ustanowić interaktywną odwrotną powłokę. Jeśli hakerzy muszą zamaskować swoje ślady, mogą poinstruować SparrowDoor, aby usunął mechanizm utrwalania i skasował swoje pliki.