Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Variantet e SparrowDoor Backdoor

Variantet e SparrowDoor Backdoor

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:
Shqip

Grupi kinez i spiunazhit kibernetik i njohur si FamousSparrow ka qenë i lidhur me sulme të reja ndaj një grupi tregtar amerikan dhe një instituti kërkimor meksikan, duke vendosur prapambetjen e tij famëkeqe SparrowDoor së bashku me malware ShadowPad . Aktiviteti, i vëzhguar në korrik 2024, shënon herën e parë që grupi ka përdorur ShadowPad, një mjet që përdoret shpesh nga aktorë të sponsorizuar nga shteti kinez.

Evolucioni i SparrowDoor: Një kërcënim më i sofistikuar

FamousSparrow ka prezantuar dy variante të reja të derës së pasme të saj SparrowDoor, njëra prej të cilave është modulare. Këto versione përfaqësojnë një hap të rëndësishëm në funksionalitet, duke përfshirë ekzekutimin paralel të komandave për të rritur efikasitetin.

Kjo shënon një përmirësim të madh nga versionet e mëparshme. Ai lejon që malware të ekzekutojë komanda të tilla si operacionet e skedarëve dhe seancat interaktive të guaskës pa penguar detyrat e vazhdueshme.

Një histori e spiunazhit: Sulmet e dukshme të FamousSparrow

I zbuluar fillimisht në shtator 2021, FamousSparrow ka qenë i lidhur me sulme kibernetike ndaj hoteleve, qeverive, firmave inxhinierike dhe zyrave të ligjit. Grupi ka funksionuar më parë në mënyrë të pavarur, duke përdorur SparrowDoor si implantin e tij ekskluziv.

Me kalimin e kohës, studiuesit kanë vërejtur ngjashmëri taktike midis FamousSparrow dhe grupeve të tjera të hakerëve kinezë si Earth Estries, GhostEmperor dhe Salt Typhoon , ky i fundit i njohur për shënjestrimin e sektorit të telekomit. Sidoqoftë, pavarësisht këtyre mbivendosjeve, FamousSparrow mbetet i klasifikuar si një grup i veçantë kërcënimi me karakteristika unike.

Zinxhiri i sulmit: Si u shpalos shkelja

Sulmi fillon me FamousSparrow duke vendosur një predhë në internet në një server të cenueshëm IIS. Ndërsa metoda e saktë e fitimit të aksesit fillestar mbetet e panjohur, të dyja organizatat e prekura po përdornin versione të vjetruara të Windows dhe Microsoft Exchange Server, duke i bërë ato objektiva kryesorë.

Pasi guaska e uebit të jetë vendosur, ajo shërben si një platformë lëshimi për një skript të grupit të largët. Ky skrip ekzekuton një guaskë ueb .NET të koduar nga Base64, duke vendosur përfundimisht të dyja SparrowDoor dhe ShadowPad në sistemin e komprometuar.

Si funksionon SparrowDoor: Një zhytje e thellë në aftësitë e tij

Një nga variantet e reja SparrowDoor ndan ngjashmëri me Crowdoor, një malware i dokumentuar më parë. Sidoqoftë, të dy versionet paraqesin përmirësime thelbësore, duke përfshirë:

  • Ekzekutimi paralel i detyrës – Backdoor mund të ekzekutojë komanda të shumta në të njëjtën kohë, duke përmirësuar performancën.
  • Trajtimi dinamik i komandave – Komandat nxisin një thread të ri, i cili krijon një lidhje të veçantë me serverin Command-and-Control (C&C).
  • Gjurmimi i viktimës – Çdo lidhje përfshin një ID unike të viktimës dhe ID komanduese, duke ndihmuar serverin C&C të menaxhojë me efikasitet detyrat e vazhdueshme.

SparrowDoor vjen i pajisur me një sërë aftësish që rrisin funksionalitetin e tij. Mund të krijojë një përfaqësues, të lejojë komunikim të fshehtë dhe të iniciojë sesione ndërvepruese të guaskës për të mundësuar ekzekutimin e komandës në kohë reale. Backdoor është gjithashtu i aftë të trajtojë operacione të ndryshme skedarësh, duke përfshirë leximin, shkrimin dhe modifikimin e skedarëve, ndërkohë që numëron njëkohësisht sistemin e skedarëve për të përcaktuar drejtoritë dhe të dhënat e disponueshme. Për më tepër, ai mbledh informacion të detajuar të hostit, duke u ofruar sulmuesve njohuri për sistemin e komprometuar. Nëse është e nevojshme, SparrowDoor madje mund të hiqet tërësisht, duke siguruar që gjurmët e pranisë së tij të fshihen.

Një qasje modulare: versioni i përmirësuar i SparrowDoor

Varianti i dytë, më i avancuar SparrowDoor prezanton një dizajn modular, të bazuar në shtojca, duke zgjeruar aftësitë e tij përmes nëntë moduleve të specializuara:

  • Cmd – Ekzekutoni komandat e sistemit
  • CFile – Menaxhoni operacionet e skedarëve
  • CKeylogPlug – Regjistro tastierë
  • CSocket – Krijoni një përfaqësues TCP
  • CShell – Filloni sesionet ndërvepruese të guaskës
  • CTransf – Transferoni skedarë midis hostit të infektuar dhe serverit C&C
  • CRdp – Regjistroni pamjet e ekranit
  • CPro – Listoni dhe përfundoni proceset e ekzekutimit
  • CFileMoniter – Ndiqni ndryshimet e sistemit të skedarëve në drejtori specifike

FamousSparrow: Ende aktiv, ende në zhvillim

Kjo valë e fundit e aktivitetit konfirmon se FamousSparrow jo vetëm që është ende aktiv, por gjithashtu investon në zhvillimin e vazhdueshëm të prapambetjes së saj SparrowDoor. Me prezantimin e aftësive modulare dhe miratimin e ShadowPad, grupi po evoluon qartë, duke paraqitur një kërcënim edhe më të rëndësishëm për sigurinë kibernetike duke ecur përpara.

Në trend

Mashtrimi me email të serverit në renë kompjuterike...

Fishing, Spam
Interneti është i mbushur me skema mashtruese të krijuara për të shfrytëzuar përdoruesit që nuk dyshojnë, duke e bërë thelbësore të qëndroni të kujdesshëm gjatë shfletimit dhe trajtimit të emaileve. Sulmet e phishing, si mashtrimi me email i Mail Cloud Server, janë ndër kërcënimet më të zakonshme, duke përdorur taktika të inxhinierisë sociale për të vjedhur informacione të ndjeshme. Duke...

Më e shikuara

Po ngarkohet...