Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) SparrowDoor Backdoor Variants

SparrowDoor Backdoor Variants

Por Mezo em Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:
Português

O grupo chinês de espionagem cibernética conhecido como FamousSparrow foi associado a novos ataques a um grupo comercial dos EUA e a um instituto de pesquisa mexicano, implantando seu notório backdoor SparrowDoor junto com o malware ShadowPad. A atividade, observada em julho de 2024, marca a primeira vez que o grupo aproveitou o ShadowPad, uma ferramenta frequentemente usada por atores patrocinados pelo estado chinês.

A Evolução do SparrowDoor: Uma Ameaça Mais Sofisticada

FamousSparrow introduziu duas novas variantes de seu backdoor SparrowDoor, uma das quais é modular. Essas versões representam um salto significativo em funcionalidade, incorporando execução paralela de comandos para aumentar a eficiência.

Isso marca uma grande atualização em relação às versões anteriores. Ele permite que o malware execute comandos como operações de arquivo e sessões de shell interativas sem paralisar tarefas em andamento.

Uma História de Espionagem: Ataques Notáveis do FamousSparrow

Inicialmente descoberto em setembro de 2021, o FamousSparrow foi vinculado a ataques cibernéticos a hotéis, governos, empresas de engenharia e escritórios de advocacia. O grupo já operou de forma independente, usando o SparrowDoor como seu implante exclusivo.

Com o tempo, pesquisadores observaram similaridades táticas entre o FamousSparrow e outros grupos de hackers chineses como Earth Estries, GhostEmperor e Salt Typhoon, este último conhecido por mirar no setor de telecomunicações. No entanto, apesar dessas sobreposições, o FamousSparrow continua classificado como um grupo de ameaça distinto com características únicas.

A Cadeia de Ataque: Como a Brecha se Desdobrou

O ataque começa com FamousSparrow implantando um web shell em um servidor IIS vulnerável. Embora o método exato de obter acesso inicial permaneça desconhecido, ambas as organizações afetadas estavam executando versões desatualizadas do Windows e do Microsoft Exchange Server, tornando-as alvos principais.

Uma vez que o web shell esteja no lugar, ele serve como uma plataforma de lançamento para um script de lote remoto. Este script executa um web shell .NET codificado em Base64, finalmente implantando SparrowDoor e ShadowPad no sistema comprometido.

Como o SparrowDoor Funciona: Um Mergulho Profundo em Suas Capacidades

Uma das novas variantes do SparrowDoor compartilha similaridades com o Crowdoor, um malware previamente documentado. No entanto, ambas as versões introduzem melhorias substanciais, incluindo:

  • Execução de tarefas paralelas – O backdoor pode executar vários comandos ao mesmo tempo, melhorando o desempenho.
  • Manipulação dinâmica de comandos – Os comandos acionam um novo thread, que estabelece uma conexão separada com o servidor de Comando e Controle (C&C).
  • Rastreamento de vítimas – Cada conexão inclui uma ID de vítima e uma ID de comando exclusivas, ajudando o servidor C&C a gerenciar tarefas em andamento com eficiência.

O SparrowDoor vem equipado com uma variedade de recursos que aprimoram sua funcionalidade. Ele pode estabelecer um proxy, permitir comunicação secreta e iniciar sessões de shell interativas para habilitar a execução de comandos em tempo real. O backdoor também é capaz de manipular várias operações de arquivo, incluindo leitura, gravação e modificação de arquivos, enquanto enumera simultaneamente o sistema de arquivos para mapear diretórios e dados disponíveis. Além disso, ele reúne informações detalhadas do host, fornecendo aos invasores insights sobre o sistema comprometido. Se necessário, o SparrowDoor pode até mesmo se remover completamente, garantindo que os vestígios de sua presença sejam apagados.

Uma Abordagem Modular: A Versão Aprimorada do SparrowDoor

A segunda variante mais avançada do SparrowDoor apresenta um design modular baseado em plug-ins, expandindo suas capacidades por meio de nove módulos especializados:

  • Cmd – Executar comandos do sistema
  • CFile – Gerenciar operações de arquivo
  • CKeylogPlug – Registrar pressionamentos de tecla
  • CSocket – Estabelecer um proxy TCP
  • CShell – Iniciar sessões de shell interativas
  • CTransf – Transferir arquivos entre o host infectado e o servidor C&C
  • CRdp – Capturar imagens de tela
  • CPro – Listar e encerrar processos em execução
  • CFileMoniter – Rastreie alterações no sistema de arquivos em diretórios específicos

FamousSparrow: Ainda Ativo, Ainda Evoluindo

Esta onda recente de atividade confirma que o FamousSparrow não só continua ativo, mas também investe no desenvolvimento contínuo de seu backdoor SparrowDoor. Com a introdução de capacidades modulares e a adoção do ShadowPad, o grupo está claramente evoluindo, representando uma ameaça de segurança cibernética ainda mais significativa no futuro.

Tendendo

Mais visto

Carregando...