Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) Варијанте позадинских врата СпарровДоор

Варијанте позадинских врата СпарровДоор

До Mezo. у Напредна трајна претња (АПТ), Бацкдоорс
Преведи на:
Српски

Кинеска група за сајбер шпијунажу позната као ФамоусСпарров повезана је са новим нападима на америчку трговинску групу и мексички истраживачки институт, постављајући свој озлоглашени бацкдоор СпарровДоор заједно са малвером СхадовПад . Ова активност, примећена у јулу 2024, означава први пут да је група искористила СхадовПад, алат који често користе кинески државни актери.

Еволуција СпарровДоор-а: Софистициранија претња

ФамоусСпарров је представио две нове варијанте својих задњих врата СпарровДоор, од којих је једна модуларна. Ове верзије представљају значајан скок у функционалности, укључујући паралелно извршавање команди ради побољшања ефикасности.

Ово означава велику надоградњу у односу на раније верзије. Омогућава злонамерном софтверу да извршава команде као што су операције са датотекама и интерактивне сесије љуске без одуговлачења текућих задатака.

Историја шпијунаже: познати напади славног врапца

Првобитно откривен у септембру 2021. године, ФамоусСпарров је повезан са сајбер нападима на хотеле, владе, инжењерске фирме и адвокатске канцеларије. Група је раније радила независно, користећи СпарровДоор као свој ексклузивни имплант.

Током времена, истраживачи су уочили тактичке сличности између ФамоусСпарров и других кинеских хакерских група као што су Еартх Естриес, ГхостЕмперор и Салт Типхоон , потоњи познат по томе што циља на сектор телекомуникација. Међутим, упркос овим преклапањима, ФамоусСпарров остаје класификован као посебна група претњи са јединственим карактеристикама.

Ланац напада: Како се кршење одвијало

Напад почиње тако што ФамоусСпарров поставља веб шкољку на рањиви ИИС сервер. Иако је тачан начин добијања почетног приступа и даље непознат, обе погођене организације су користиле застареле верзије Виндовс-а и Мицрософт Екцханге Сервера, што их је чинило главним метама.

Једном када је веб љуска постављена, она служи као лансирна плоча за удаљену групну скрипту. Ова скрипта извршава Басе64 кодирану .НЕТ веб шкољку, на крају постављајући и СпарровДоор и СхадовПад на компромитовани систем.

Како функционише СпарровДоор: Дубоко уроните у његове могућности

Једна од нових варијанти СпарровДоор-а дели сличности са Цровдоор-ом, раније документованим малвером. Међутим, обе верзије уводе значајна побољшања, укључујући:

  • Паралелно извршавање задатака – Бацкдоор може да покрене више команди одједном, побољшавајући перформансе.
  • Динамичко руковање командама – Команде покрећу нову нит, која успоставља одвојену везу са сервером за команду и контролу (Ц&Ц).
  • Праћење жртава – Свака веза укључује јединствени ИД жртве и ИД команде, помажући Ц&Ц серверу да ефикасно управља текућим задацима.

СпарровДоор је опремљен низом могућности које побољшавају његову функционалност. Може успоставити проки, омогућити тајну комуникацију и покренути интерактивне сесије љуске како би омогућио извршавање команди у реалном времену. Бацкдоор је такође способан да рукује разним операцијама датотека, укључујући читање, писање и модификовање датотека, док истовремено набраја систем датотека како би мапирао доступне директоријуме и податке. Поред тога, прикупља детаљне информације о хосту, пружајући нападачима увид у компромитовани систем. Ако је потребно, СпарровДоор се може чак и потпуно уклонити, осигуравајући да се трагови његовог присуства избришу.

Модуларни приступ: побољшана верзија СпарровДоор-а

Друга, напреднија варијанта СпарровДоор уводи модуларни дизајн заснован на додацима, проширујући своје могућности кроз девет специјализованих модула:

  • Цмд – Изврши системске команде
  • ЦФиле – Управљајте операцијама датотека
  • ЦКеилогПлуг – Евидентирај притиске на тастере
  • ЦСоцкет – Успоставите ТЦП проки
  • ЦСхелл – Покрените интерактивне сесије љуске
  • ЦТрансф – Пренесите датотеке између зараженог хоста и Ц&Ц сервера
  • ЦРдп – Снимите снимке екрана
  • ЦПро – Наведите и окончајте покренуте процесе
  • ЦФилеМонитер – Пратите промене система датотека у одређеним директоријумима

ФамоусСпарров: Још увек активан, још увек у развоју

Овај недавни талас активности потврђује да ФамоусСпарров не само да је још увек активан, већ и улаже у континуирани развој свог СпарровДоор бацкдоор-а. Са увођењем модуларних могућности и усвајањем СхадовПад-а, група се јасно развија, представљајући још значајнију претњу сајбер безбедности која напредује.

У тренду

Маил Цлоуд Сервер е-маил превара

Пецање, Спам
Интернет је препун обмањујућих шема дизајнираних да искористе несуђене кориснике, због чега је неопходно остати опрезан док прегледате и рукујете е-поштом. Напади пхисхинг-а, попут превара е-поште Маил Цлоуд Сервера, су међу најчешћим претњама, користећи тактику друштвеног инжењеринга за крађу осетљивих информација. Ако разумеју како ова превара функционише, корисници могу препознати и спречити...

ЦВЕ-2025-24201 Рањивост

Рањивост
Аппле је најавио издавање критичне безбедносне исправке како би поправио рањивост нултог дана, идентификовану као ЦВЕ-2025-24201. Ова мана, која је активно искоришћена у 'екстремно софистицираним' нападима, утиче на ВебКит претраживач Веб претраживача. Проблем укључује рањивост писања ван граница која би могла омогућити нападачима да заобиђу сандбок веб садржаја, потенцијално угрожавајући...

Најгледанији

Злонамерних програма

Пецање, Спам
28,661
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...