Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) SparrowDoor Backdoor Varianty

SparrowDoor Backdoor Varianty

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:
Slovenčina

Čínska kybernetická špionážna skupina známa ako FamousSparrow bola spájaná s čerstvými útokmi na americkú obchodnú skupinu a mexický výskumný inštitút, pričom nasadila svoje notoricky známe zadné vrátka SparrowDoor popri malvéri ShadowPad . Táto aktivita, pozorovaná v júli 2024, predstavuje prvý prípad, keď skupina využila ShadowPad, nástroj, ktorý často používajú čínski štátom sponzorovaní aktéri.

Evolúcia SparrowDoor: Sofistikovanejšia hrozba

FamousSparrow predstavil dva nové varianty svojho zadného vrátka SparrowDoor, z ktorých jeden je modulárny. Tieto verzie predstavujú významný skok vo funkčnosti, pretože obsahujú paralelné vykonávanie príkazov na zvýšenie efektivity.

Ide o významnú aktualizáciu oproti predchádzajúcim verziám. Umožňuje malvéru vykonávať príkazy, ako sú operácie so súbormi a interaktívne relácie shellu bez zastavenia prebiehajúcich úloh.

História špionáže: Pozoruhodné útoky slávneho Sparrowa

FamousSparrow , ktorý bol pôvodne odhalený v septembri 2021, bol spájaný s kybernetickými útokmi na hotely, vlády, inžinierske firmy a právnické kancelárie. Skupina predtým fungovala nezávisle a používala SparrowDoor ako svoj exkluzívny implantát.

V priebehu času výskumníci pozorovali taktické podobnosti medzi FamousSparrow a ďalšími čínskymi hackerskými skupinami, ako sú Earth Estries, GhostEmperor a Salt Typhoon , ktoré sú známe tým, že sa zameriavajú na telekomunikačný sektor. Napriek týmto presahom však FamousSparrow zostáva klasifikovaný ako samostatná skupina hrozieb s jedinečnými vlastnosťami.

The Attack Chain: How the Breach Unfolded

Útok začína tým, že FamousSparrow nasadí webový shell na zraniteľný server IIS. Zatiaľ čo presný spôsob získania počiatočného prístupu zostáva neznámy, obe postihnuté organizácie používali zastarané verzie Windows a Microsoft Exchange Server, čo z nich urobilo hlavné ciele.

Keď je webový shell na svojom mieste, slúži ako spúšťací panel pre vzdialený dávkový skript. Tento skript spustí .NET webový shell kódovaný Base64 a nakoniec nasadí do napadnutého systému SparrowDoor aj ShadowPad.

Ako SparrowDoor funguje: Hlboký ponor do jeho schopností

Jeden z nových variantov SparrowDoor zdieľa podobnosti s Crowdoor, predtým zdokumentovaným malvérom. Obe verzie však prinášajú podstatné vylepšenia vrátane:

  • Paralelné vykonávanie úloh – Backdoor môže spúšťať viacero príkazov naraz, čím sa zvyšuje výkon.
  • Dynamické spracovanie príkazov – Príkazy spúšťajú nové vlákno, ktoré vytvára samostatné pripojenie k serveru Command-and-Control (C&C).
  • Sledovanie obetí – Každé pripojenie obsahuje jedinečné ID obete a ID príkazu, čo pomáha serveru C&C efektívne riadiť prebiehajúce úlohy.

SparrowDoor je vybavený radom funkcií, ktoré zlepšujú jeho funkčnosť. Môže vytvoriť proxy, umožniť skrytú komunikáciu a iniciovať interaktívne relácie shellu, aby sa umožnilo vykonávanie príkazov v reálnom čase. Zadné vrátka sú tiež schopné spracovať rôzne operácie so súbormi, vrátane čítania, zápisu a úpravy súborov, pričom súčasne vypočítava súborový systém na mapovanie dostupných adresárov a údajov. Okrem toho zhromažďuje podrobné informácie o hostiteľovi a poskytuje útočníkom prehľad o napadnutom systéme. V prípade potreby sa SparrowDoor môže dokonca úplne odstrániť, čím zaistí, že stopy po jeho prítomnosti budú vymazané.

Modulárny prístup: Vylepšená verzia SparrowDoor

Druhý, pokročilejší variant SparrowDoor predstavuje modulárny dizajn založený na zásuvných moduloch, ktorý rozširuje svoje možnosti prostredníctvom deviatich špecializovaných modulov:

  • Cmd – Spúšťa systémové príkazy
  • CFile – Správa operácií so súbormi
  • CKeylogPlug – Zaznamenáva stlačenia klávesov
  • CSocket – Vytvorte TCP proxy
  • CShell – Spustenie interaktívnych relácií shellu
  • CTransf – Prenos súborov medzi infikovaným hostiteľom a serverom C&C
  • CRdp – Zachytenie snímok obrazovky
  • CPro – Zobrazí a ukončí spustené procesy
  • CFileMoniter – Sledovanie zmien súborového systému v konkrétnych adresároch

FamousSparrow: Stále aktívny, stále sa vyvíjajúci

Táto nedávna vlna aktivít potvrdzuje, že FamousSparrow je nielen stále aktívny, ale tiež investuje do neustáleho vývoja svojich zadných dvierok SparrowDoor. So zavedením modulárnych schopností a prijatím ShadowPad sa skupina jasne vyvíja a predstavuje ešte významnejšiu hrozbu pre kybernetickú bezpečnosť.

Trendy

Chyba zabezpečenia CVE-2025-24201

Zraniteľnosť
Spoločnosť Apple oznámila vydanie kritickej aktualizácie zabezpečenia, ktorá má opraviť zraniteľnosť nultého dňa, označenú ako CVE-2025-24201. Táto chyba, ktorá bola aktívne využívaná pri „extrémne sofistikovaných“ útokoch, ovplyvňuje jadro webového prehliadača WebKit. Problém sa týka chyby zabezpečenia pre zápis, ktorá by mohla útočníkom umožniť obísť karanténu Web Content a potenciálne...

Najviac videné

Načítava...