Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Variante SparrowDoor Backdoor

Variante SparrowDoor Backdoor

Până în Mezo în Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:
Română

Grupul chinez de spionaj cibernetic cunoscut sub numele de FamousSparrow a fost legat de noi atacuri asupra unui grup comercial din SUA și a unui institut de cercetare mexican, implementând faimoasa sa ușă din spate SparrowDoor alături de malware-ul ShadowPad . Activitatea, observată în iulie 2024, reprezintă prima dată când grupul a folosit ShadowPad, un instrument folosit frecvent de actorii chinezi sponsorizați de stat.

Evoluția SparrowDoor: o amenințare mai sofisticată

FamousSparrow a introdus două noi variante ale ușii din spate SparrowDoor, dintre care una este modulară. Aceste versiuni reprezintă un salt semnificativ în funcționalitate, încorporând execuția paralelă a comenzilor pentru a spori eficiența.

Aceasta marchează o actualizare majoră față de versiunile anterioare. Permite malware-ului să execute comenzi, cum ar fi operațiuni cu fișiere și sesiuni interactive de shell, fără a bloca sarcinile în curs.

O istorie a spionajului: Atacurile remarcabile ale lui Famous Sparrow

Descoperită inițial în septembrie 2021, FamousSparrow a fost legată de atacuri cibernetice asupra hotelurilor, guvernelor, firmelor de inginerie și birourilor de avocatură. Grupul a funcționat anterior independent, folosind SparrowDoor ca implant exclusiv.

De-a lungul timpului, cercetătorii au observat asemănări tactice între FamousSparrow și alte grupuri de hacking chineze precum Earth Estries, GhostEmperor și Salt Typhoon , acestea din urmă cunoscute pentru că vizează sectorul telecomunicațiilor. Cu toate acestea, în ciuda acestor suprapuneri, Famous Sparrow rămâne clasificat ca un grup distinct de amenințare, cu caracteristici unice.

Lanțul de atac: cum s-a desfășurat breșa

Atacul începe cu FamousSparrow desfășurarea unui shell web pe un server IIS vulnerabil. Deși metoda exactă de obținere a accesului inițial rămâne necunoscută, ambele organizații afectate rulau versiuni învechite de Windows și Microsoft Exchange Server, făcându-le ținte principale.

Odată ce shell-ul web este la locul său, acesta servește ca platformă de lansare pentru un script de lot la distanță. Acest script execută un shell web .NET codificat în Base64, implementând în cele din urmă atât SparrowDoor, cât și ShadowPad pe sistemul compromis.

Cum funcționează SparrowDoor: o scufundare profundă în capacitățile sale

Una dintre noile variante SparrowDoor are asemănări cu Crowdoor, un malware documentat anterior. Cu toate acestea, ambele versiuni introduc îmbunătățiri substanțiale, inclusiv:

  • Execuție paralelă a sarcinilor – Ușa din spate poate rula mai multe comenzi simultan, îmbunătățind performanța.
  • Gestionarea dinamică a comenzilor – Comenzile declanșează un nou fir, care stabilește o conexiune separată la serverul Command-and-Control (C&C).
  • Urmărirea victimelor – Fiecare conexiune include un ID unic de victimă și un ID de comandă, ajutând serverul C&C să gestioneze eficient sarcinile în curs.

SparrowDoor este echipat cu o serie de capabilități care îi îmbunătățesc funcționalitatea. Poate stabili un proxy, permite comunicarea sub acoperire și poate iniția sesiuni interactive de shell pentru a permite executarea comenzilor în timp real. Ușa din spate este, de asemenea, capabilă să gestioneze diferite operațiuni cu fișiere, inclusiv citirea, scrierea și modificarea fișierelor, în timp ce enumerează simultan sistemul de fișiere pentru a mapa directoarele și datele disponibile. În plus, adună informații detaliate despre gazdă, oferind atacatorilor informații despre sistemul compromis. Dacă este necesar, SparrowDoor poate chiar să se îndepărteze în întregime, asigurându-se că urmele prezenței sale sunt șterse.

O abordare modulară: versiunea îmbunătățită a SparrowDoor

A doua variantă, mai avansată SparrowDoor, introduce un design modular, bazat pe pluginuri, extinzându-și capacitățile prin nouă module specializate:

  • Cmd – Executați comenzile sistemului
  • CFile – Gestionați operațiunile cu fișierele
  • CKeylogPlug – Înregistrează apăsările de taste
  • CSocket – Stabiliți un proxy TCP
  • CShell – Inițiază sesiuni interactive de shell
  • CTransf – Transferați fișiere între gazda infectată și serverul C&C
  • CRdp – Capturați capturi de ecran
  • CPro – Listează și închide procesele care rulează
  • CFileMoniter – Urmăriți modificările sistemului de fișiere în directoare specifice

Famous Sparrow: încă activ, încă în evoluție

Acest val recent de activitate confirmă faptul că FamousSparrow nu numai că este încă activ, ci și investește în dezvoltarea continuă a ușii din spate SparrowDoor. Odată cu introducerea capabilităților modulare și adoptarea ShadowPad, grupul evoluează în mod clar, reprezentând o amenințare și mai semnificativă pentru securitatea cibernetică în viitor.

Trending

Mail Cloud Server Înșelătorie prin e-mail

phishing, Spam
Internetul este plin de scheme înșelătoare concepute pentru a exploata utilizatorii nebănuiți, ceea ce face esențial să rămâneți precauți în timp ce navigați și gestionați e-mailurile. Atacurile de tip phishing, cum ar fi înșelătoria prin e-mail de Mail Cloud Server, sunt printre cele mai frecvente amenințări, folosind tactici de inginerie socială pentru a fura informații sensibile. Înțelegând...

Cele mai văzute

Se încarcă...