Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) SparrowDoor Bakdörrsvarianter

SparrowDoor Bakdörrsvarianter

Med Mezo år Advanced Persistent Threat (APT), Bakdörrar
Översätt till:
Svenska

Den kinesiska cyberspionagegruppen känd som FamousSparrow har kopplats till nya attacker mot en amerikansk handelsgrupp och ett mexikanskt forskningsinstitut, som distribuerar sin ökända SparrowDoor- bakdörr tillsammans med ShadowPad malware. Aktiviteten, som observerades i juli 2024, markerar första gången gruppen har utnyttjat ShadowPad, ett verktyg som ofta används av kinesiska statligt sponsrade aktörer.

The Evolution of SparrowDoor: A More Sophisticated Threat

FamousSparrow har introducerat två nya varianter av sin SparrowDoor-bakdörr, varav en är modulär. Dessa versioner representerar ett betydande steg i funktionalitet, och inkluderar parallell exekvering av kommandon för att öka effektiviteten.

Detta markerar en stor uppgradering från tidigare versioner. Det tillåter skadlig programvara att utföra kommandon som filoperationer och interaktiva skalsessioner utan att stoppa pågående uppgifter.

En historia om spionage: FamousSparrows anmärkningsvärda attacker

FamousSparrow , som ursprungligen upptäcktes i september 2021, har kopplats till cyberattacker mot hotell, regeringar, ingenjörsfirmor och advokatbyråer. Gruppen har tidigare opererat självständigt och använt SparrowDoor som sitt exklusiva implantat.

Med tiden har forskare observerat taktiska likheter mellan FamousSparrow och andra kinesiska hackergrupper som Earth Estries, GhostEmperor och Salt Typhoon , den senare känd för att rikta sig mot telekomsektorn. Men trots dessa överlappningar förblir FamousSparrow klassad som en distinkt hotgrupp med unika egenskaper.

Attackkedjan: Hur intrånget utvecklades

Attacken börjar med att FamousSparrow distribuerar ett webbskal på en sårbar IIS-server. Även om den exakta metoden för att få initial åtkomst fortfarande är okänd, körde båda berörda organisationer föråldrade versioner av Windows och Microsoft Exchange Server, vilket gör dem till främsta mål.

När webbskalet är på plats fungerar det som en startplatta för ett externt batchskript. Det här skriptet kör ett Base64-kodat .NET-webbskal, som slutligen distribuerar både SparrowDoor och ShadowPad på det komprometterade systemet.

Hur SparrowDoor Works: En djupdykning i dess kapacitet

En av de nya SparrowDoor-varianterna delar likheter med Crowdoor, en tidigare dokumenterad skadlig programvara. Båda versionerna introducerar dock betydande förbättringar, inklusive:

  • Parallell uppgiftsexekvering – Bakdörren kan köra flera kommandon samtidigt, vilket förbättrar prestandan.
  • Dynamisk kommandohantering – Kommandon utlöser en ny tråd, som upprättar en separat anslutning till Command-and-Control-servern (C&C).
  • Offerspårning – Varje anslutning inkluderar ett unikt offer-ID och kommando-ID, vilket hjälper C&C-servern att hantera pågående uppgifter effektivt.

SparrowDoor är utrustad med en rad funktioner som förbättrar dess funktionalitet. Den kan upprätta en proxy, möjliggöra hemlig kommunikation och initiera interaktiva skalsessioner för att möjliggöra realtidskommandoexekvering. Bakdörren kan också hantera olika filoperationer, inklusive läsa, skriva och modifiera filer, samtidigt som den räknar upp filsystemet för att kartlägga tillgängliga kataloger och data. Dessutom samlar den in detaljerad värdinformation, vilket ger angripare insikter om det komprometterade systemet. Om det behövs kan SparrowDoor till och med ta bort sig själv helt, vilket säkerställer att spår av dess närvaro raderas.

En modulär metod: SparrowDoors förbättrade version

Den andra, mer avancerade SparrowDoor-varianten introducerar en modulär, plugin-baserad design, som utökar dess kapacitet genom nio specialiserade moduler:

  • Cmd – Kör systemkommandon
  • CFile – Hantera filoperationer
  • CKeylogPlug – Logga tangenttryckningar
  • CSocket – Etablera en TCP-proxy
  • CShell – Initiera interaktiva skalsessioner
  • CTransf – Överför filer mellan den infekterade värden och C&C-servern
  • CRdp – Ta skärmdumpar
  • CPro – Lista och avsluta pågående processer
  • CFileMoniter – Spåra filsystemändringar i specifika kataloger

FamousSparrow: Fortfarande aktiv, fortfarande under utveckling

Denna senaste våg av aktivitet bekräftar att FamousSparrow inte bara fortfarande är aktiv utan också investerar i den kontinuerliga utvecklingen av sin SparrowDoor-bakdörr. Med introduktionen av modulära funktioner och införandet av ShadowPad utvecklas gruppen tydligt, vilket utgör ett ännu mer betydande hot mot cybersäkerhet framåt.

Trendigt

Mest sedda

Läser in...