SparvDörr

SparrowDoor är det största hotet som används av en nyupptäckt APT -grupp (Advanced Persistent Threat) som spåras som FamousSparrow . Hackarna verkar rikta in sig på hotell över hela världen med avsikt att siffonera data. Vid separata tillfällen har FamousSparrow också äventyrat verkstadsföretag, advokatbyråer och statliga organisationer.

Utplaceringen av SparrowDoor

SparrowDoor -bakdörren levereras till offrets maskin via en lastare som använder DLL -kapning. Lastaren använder tre element - en legitim K & Computing -körbar fil (Indexer.exe), en skadad DLL -fil (K7UI.dll) och en krypterad skalkod (MpSvc.dll). Alla tre hamnar i mappen %PROGRAMDATA %\ Software \.

För att fastställa uthållighet förlitar sig SparrowDoor på en registerkörningsnyckel och en tjänst som skapas och lanseras med hjälp av konfigurationsdata som är hårdkodade i skadlig programvarans binära. Efteråt försöker den eskalera sina privilegier genom att justera åtkomsttoken för dess process. Det sista steget inkluderar att skicka systemdata till Command-and-Control (C2, C&C) -servern och sedan vänta på inkommande kommandon.

Hotande funktionalitet

SparrowDoor känner igen över 10 olika kommandon. Det kan manipulera filsystemet på den komprometterade maskinen - skapa, byta namn på och ta bort filer. Det kan också exfiltrera olika data till servern, inklusive filinformation (filattribut, filstorlek och filskrivningstid) och innehållet i angivna filer. Skadlig programvara kan avsluta nuvarande processer och skapa ett interaktivt omvänd skal. Om hackarna behöver maskera sina spår kan de instruera SparrowDoor att ta bort dess uthållighetsmekanism och ta bort dess filer.