Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) SparrowDoor Backdoor različice

SparrowDoor Backdoor različice

Do leta Mezo leta Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:
Slovenščina

Kitajska kibernetska vohunska skupina, znana kot FamousSparrow, je bila povezana z novimi napadi na ameriško trgovinsko skupino in mehiški raziskovalni inštitut, ki je poleg zlonamerne programske opreme ShadowPad uporabila svoja razvpita stranska vrata SparrowDoor . Dejavnost, opažena julija 2024, je prvič, da je skupina uporabila ShadowPad, orodje, ki ga pogosto uporabljajo kitajski akterji, ki jih sponzorira država.

Evolucija SparrowDoor: bolj sofisticirana grožnja

FamousSparrow je predstavil dve novi različici svojih zadnjih vrat SparrowDoor, od katerih je ena modularna. Te različice predstavljajo pomemben preskok v funkcionalnosti, saj vključujejo vzporedno izvajanje ukazov za povečanje učinkovitosti.

To pomeni veliko nadgradnjo prejšnjih različic. Zlonamerni programski opremi omogoča izvajanje ukazov, kot so datotečne operacije in interaktivne lupinske seje, ne da bi zaustavila tekoča opravila.

Zgodovina vohunjenja: znameniti napadi FamousSparrow

FamousSparrow , ki je bil prvotno odkrit septembra 2021, je bil povezan s kibernetskimi napadi na hotele, vlade, inženirska podjetja in odvetniške pisarne. Skupina je prej delovala neodvisno in je uporabljala SparrowDoor kot svoj ekskluzivni vsadek.

Sčasoma so raziskovalci opazili taktične podobnosti med FamousSparrow in drugimi kitajskimi hekerskimi skupinami, kot so Earth Estries, GhostEmperor in Salt Typhoon , pri čemer je slednja znana po ciljanju na telekomunikacijski sektor. Vendar kljub tem prekrivanjem FamousSparrow ostaja razvrščen kot posebna skupina groženj z edinstvenimi lastnostmi.

Veriga napadov: Kako se je vdor odvijal

Napad se začne z uvedbo spletne lupine FamousSparrow na ranljivem strežniku IIS. Medtem ko natančen način pridobitve začetnega dostopa ostaja neznan, sta obe prizadeti organizaciji uporabljali zastarele različice operacijskega sistema Windows in Microsoft Exchange Server, zaradi česar sta glavni tarči.

Ko je spletna lupina nameščena, služi kot lansirna plošča za oddaljeni paketni skript. Ta skript izvede spletno lupino .NET, kodirano z Base64, in na koncu uvede tako SparrowDoor kot ShadowPad v ogroženi sistem.

Kako deluje SparrowDoor: Poglobite se v njegove zmogljivosti

Ena od novih različic SparrowDoor ima podobnosti s Crowdoorjem, predhodno dokumentirano zlonamerno programsko opremo. Vendar obe različici prinašata bistvene izboljšave, vključno z:

  • Vzporedno izvajanje nalog – zadnja vrata lahko izvajajo več ukazov hkrati, kar izboljša zmogljivost.
  • Dinamično ravnanje z ukazi – Ukazi sprožijo novo nit, ki vzpostavi ločeno povezavo s strežnikom za ukaze in nadzor (C&C).
  • Sledenje žrtvam – vsaka povezava vključuje edinstven ID žrtve in ID ukaza, kar strežniku C&C pomaga pri učinkovitem upravljanju tekočih nalog.

SparrowDoor je opremljen z vrsto zmogljivosti, ki izboljšujejo njegovo funkcionalnost. Lahko vzpostavi proxy, omogoči prikrito komunikacijo in sproži interaktivne lupinske seje, da omogoči izvajanje ukazov v realnem času. Zadnja vrata so prav tako sposobna upravljati z različnimi operacijami datotek, vključno z branjem, pisanjem in spreminjanjem datotek, hkrati pa naštevajo datotečni sistem, da preslikajo razpoložljive imenike in podatke. Poleg tega zbira podrobne informacije o gostitelju, kar napadalcem omogoča vpogled v ogroženi sistem. Po potrebi se lahko SparrowDoor celo v celoti odstrani in tako zagotovi, da so sledi njegove prisotnosti izbrisane.

Modularni pristop: izboljšana različica podjetja SparrowDoor

Druga, naprednejša različica SparrowDoor uvaja modularno zasnovo, ki temelji na vtičnikih in širi svoje zmogljivosti prek devetih specializiranih modulov:

  • Cmd – Izvedite sistemske ukaze
  • CFile – Upravljajte operacije datotek
  • CKeylogPlug – beleži pritiske tipk
  • CSocket – Vzpostavite strežnik proxy TCP
  • CShell – sprožite interaktivne lupinske seje
  • CTransf – Prenos datotek med okuženim gostiteljem in strežnikom C&C
  • CRdp – Zajemite posnetke zaslona
  • CPro – seznam in zaključek tekočih procesov
  • CFileMoniter – Sledite spremembam datotečnega sistema v določenih imenikih

FamousSparrow: Še vedno aktiven, še vedno se razvija

Ta nedavni val dejavnosti potrjuje, da FamousSparrow ni samo še vedno aktiven, ampak tudi vlaga v nenehen razvoj svojih zadnjih vrat SparrowDoor. Z uvedbo modularnih zmogljivosti in sprejetjem ShadowPad se skupina očitno razvija in v prihodnje predstavlja še pomembnejšo grožnjo kibernetski varnosti.

V trendu

Mail Cloud Server e-poštna prevara

Lažno predstavljanje, Neželena pošta
Internet je poln zavajajočih shem, namenjenih izkoriščanju nič hudega slutečih uporabnikov, zaradi česar morate ostati previdni med brskanjem in ravnanjem z e-pošto. Napadi lažnega predstavljanja, kot je e-poštna prevara Mail Cloud Server, so med najpogostejšimi grožnjami, ki uporabljajo taktike socialnega inženiringa za krajo občutljivih podatkov. Z razumevanjem delovanja te prevare lahko...

Najbolj gledan

Nalaganje...