Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Варианты задней двери SparrowDoor

Варианты задней двери SparrowDoor

К Mezo году в Расширенная постоянная угроза (APT), Бэкдоры году
Перевести на:
Русский

Китайская группа кибершпионажа, известная как FamousSparrow, была связана с новыми атаками на американскую торговую группу и мексиканский исследовательский институт, используя свой печально известный бэкдор SparrowDoor вместе с вредоносным ПО ShadowPad . Эта активность, отмеченная в июле 2024 года, знаменует собой первый случай, когда группа использовала ShadowPad, инструмент, часто используемый китайскими государственными субъектами.

Эволюция SparrowDoor: более сложная угроза

FamousSparrow представила два новых варианта своего бэкдора SparrowDoor, один из которых является модульным. Эти версии представляют собой значительный скачок в функциональности, включая параллельное выполнение команд для повышения эффективности.

Это знаменует собой значительное обновление по сравнению с предыдущими версиями. Оно позволяет вредоносному ПО выполнять такие команды, как файловые операции и сеансы интерактивной оболочки, не останавливая текущие задачи.

История шпионажа: известные атаки FamousSparrow

Первоначально обнаруженный в сентябре 2021 года, FamousSparrow был связан с кибератаками на отели, правительства, инжиниринговые компании и юридические конторы. Ранее группа действовала независимо, используя SparrowDoor в качестве своего эксклюзивного импланта.

Со временем исследователи заметили тактическое сходство между FamousSparrow и другими китайскими хакерскими группами, такими как Earth Estries, GhostEmperor и Salt Typhoon , последняя из которых известна своими атаками на телекоммуникационный сектор. Однако, несмотря на эти совпадения, FamousSparrow по-прежнему классифицируется как отдельная группа угроз с уникальными характеристиками.

Цепочка атак: как происходил взлом

Атака начинается с того, что FamousSparrow развертывает веб-оболочку на уязвимом сервере IIS. Хотя точный метод получения первоначального доступа остается неизвестным, обе пострадавшие организации использовали устаревшие версии Windows и Microsoft Exchange Server, что делает их главными целями.

После того, как веб-оболочка установлена, она служит стартовой площадкой для удаленного пакетного скрипта. Этот скрипт выполняет веб-оболочку .NET в кодировке Base64, в конечном итоге развертывая SparrowDoor и ShadowPad на скомпрометированной системе.

Как работает SparrowDoor: подробный обзор его возможностей

Один из новых вариантов SparrowDoor имеет сходство с Crowdoor, ранее задокументированным вредоносным ПО. Однако обе версии вводят существенные усовершенствования, в том числе:

  • Параллельное выполнение задач . Бэкдор может выполнять несколько команд одновременно, что повышает производительность.
  • Динамическая обработка команд . Команды запускают новый поток, который устанавливает отдельное соединение с сервером управления и контроля (C&C).
  • Отслеживание жертвы . Каждое соединение включает в себя уникальный идентификатор жертвы и идентификатор команды, что помогает серверу C&C эффективно управлять текущими задачами.

SparrowDoor оснащен рядом возможностей, которые расширяют его функциональность. Он может устанавливать прокси, обеспечивать скрытую связь и инициировать интерактивные сеансы оболочки для выполнения команд в реальном времени. Бэкдор также способен обрабатывать различные файловые операции, включая чтение, запись и изменение файлов, одновременно перечисляя файловую систему для отображения доступных каталогов и данных. Кроме того, он собирает подробную информацию о хосте, предоставляя злоумышленникам сведения о скомпрометированной системе. При необходимости SparrowDoor может даже полностью удалить себя, гарантируя, что следы его присутствия будут стерты.

Модульный подход: улучшенная версия SparrowDoor

Второй, более продвинутый вариант SparrowDoor представляет собой модульную конструкцию на основе плагинов, расширяющую его возможности за счет девяти специализированных модулей:

  • Cmd – Выполнение системных команд
  • CFile – Управление файловыми операциями
  • CKeylogPlug – Журнал нажатий клавиш
  • CSocket – Установка TCP-прокси
  • CShell – Инициировать интерактивные сеансы оболочки
  • CTransf – Передача файлов между зараженным хостом и сервером C&C
  • CRdp – Делать снимки экрана
  • CPro – Список запущенных процессов и их завершение
  • CFileMoniter – Отслеживание изменений файловой системы в определенных каталогах

FamousSparrow: все еще активен, все еще развивается

Эта недавняя волна активности подтверждает, что FamousSparrow не только все еще активен, но и инвестирует в непрерывную разработку своего бэкдора SparrowDoor. С введением модульных возможностей и принятием ShadowPad группа явно развивается, представляя еще более серьезную угрозу кибербезопасности в будущем.

В тренде

Мошенничество с почтовым сервером Mail Cloud

Фишинг, Спам
Интернет полон мошеннических схем, разработанных для эксплуатации ничего не подозревающих пользователей, что делает крайне важным сохранять осторожность при просмотре и обработке электронных писем. Фишинговые атаки, такие как мошенничество с электронными письмами Mail Cloud Server, являются одними из самых распространенных угроз, использующих тактику социальной инженерии для кражи...

Уязвимость CVE-2025-24201

Уязвимость
Apple объявила о выпуске критического обновления безопасности для исправления уязвимости нулевого дня, обозначенной как CVE-2025-24201. Эта уязвимость, которая активно эксплуатировалась в «чрезвычайно сложных» атаках, влияет на движок веб-браузера WebKit. Проблема связана с уязвимостью записи за пределами допустимого диапазона, которая может позволить злоумышленникам обойти песочницу...

Наиболее просматриваемые

Загрузка...