SparrowDoor Backdoor Variants

ஃபேமஸ்ஸ்பாரோ என்று அழைக்கப்படும் சீன சைபர் உளவு குழு, அமெரிக்க வர்த்தகக் குழு மற்றும் ஒரு மெக்சிகன் ஆராய்ச்சி நிறுவனம் மீதான புதிய தாக்குதல்களுடன் தொடர்புடையது, ஷேடோபேட் தீம்பொருளுடன் அதன் மோசமான ஸ்பாரோடோர் பின்புறத்தைப் பயன்படுத்துகிறது. ஜூலை 2024 இல் காணப்பட்ட இந்த செயல்பாடு, சீன அரசு ஆதரவு பெற்ற நடிகர்களால் அடிக்கடி பயன்படுத்தப்படும் ஒரு கருவியான ஷேடோபேடை இந்தக் குழு முதன்முறையாகப் பயன்படுத்துவதைக் குறிக்கிறது.

குருவி டூரின் பரிணாமம்: மேலும் நுட்பமான அச்சுறுத்தல்

ஃபேமஸ்ஸ்பாரோ அதன் ஸ்பாரோடோர் பின்புறத்தின் இரண்டு புதிய வகைகளை அறிமுகப்படுத்தியுள்ளது, அவற்றில் ஒன்று மட்டு. இந்த பதிப்புகள் செயல்பாட்டில் குறிப்பிடத்தக்க பாய்ச்சலைக் குறிக்கின்றன, செயல்திறனை மேம்படுத்த கட்டளைகளை இணையாக செயல்படுத்துவதை உள்ளடக்கியது.

இது முந்தைய பதிப்புகளிலிருந்து ஒரு பெரிய மேம்படுத்தலைக் குறிக்கிறது. இது தீம்பொருளானது நடந்துகொண்டிருக்கும் பணிகளைத் தடுக்காமல் கோப்பு செயல்பாடுகள் மற்றும் ஊடாடும் ஷெல் அமர்வுகள் போன்ற கட்டளைகளை இயக்க அனுமதிக்கிறது.

உளவு பார்த்தலின் வரலாறு: பிரபலமான குருவியின் குறிப்பிடத்தக்க தாக்குதல்கள்

செப்டம்பர் 2021 இல் முதன்முதலில் கண்டுபிடிக்கப்பட்ட ஃபேமஸ்ஸ்பாரோ , ஹோட்டல்கள், அரசாங்கங்கள், பொறியியல் நிறுவனங்கள் மற்றும் சட்ட அலுவலகங்கள் மீதான சைபர் தாக்குதல்களுடன் தொடர்புடையது. இந்தக் குழு முன்பு சுயாதீனமாக செயல்பட்டு, ஸ்பாரோடூரை அதன் பிரத்யேக உள்வைப்பாகப் பயன்படுத்தியது.

காலப்போக்கில், ஃபேமஸ்ஸ்பாரோவிற்கும் எர்த் எஸ்ட்ரீஸ், கோஸ்ட் எம்பரர் மற்றும் தொலைத்தொடர்புத் துறையை குறிவைப்பதில் பெயர் பெற்ற சால்ட் டைபூன் போன்ற பிற சீன ஹேக்கிங் குழுக்களுக்கும் இடையிலான தந்திரோபாய ஒற்றுமைகளை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர். இருப்பினும், இந்த ஒன்றுடன் ஒன்று தொடர்புடையவை இருந்தபோதிலும், ஃபேமஸ்ஸ்பாரோ தனித்துவமான பண்புகளைக் கொண்ட ஒரு தனித்துவமான அச்சுறுத்தல் குழுவாக வகைப்படுத்தப்பட்டுள்ளது.

தாக்குதல் சங்கிலி: முறிவு எவ்வாறு வெளிப்பட்டது

இந்த தாக்குதல், பாதிக்கப்படக்கூடிய IIS சர்வரில் ஒரு வலை ஷெல்லை FamousSparrow பயன்படுத்துவதன் மூலம் தொடங்குகிறது. ஆரம்ப அணுகலைப் பெறுவதற்கான சரியான முறை தெரியவில்லை என்றாலும், பாதிக்கப்பட்ட இரண்டு நிறுவனங்களும் Windows மற்றும் Microsoft Exchange Server இன் காலாவதியான பதிப்புகளை இயக்கி வந்ததால், அவை முக்கிய இலக்குகளாக மாறின.

வலை ஷெல் நிறுவப்பட்டதும், அது தொலைதூர தொகுதி ஸ்கிரிப்டுக்கான துவக்கப் பக்கமாகச் செயல்படுகிறது. இந்த ஸ்கிரிப்ட் ஒரு Base64-குறியிடப்பட்ட .NET வலை ஷெல்லை செயல்படுத்துகிறது, இறுதியில் SparrowDoor மற்றும் ShadowPad இரண்டையும் சமரசம் செய்யப்பட்ட கணினியில் பயன்படுத்துகிறது.

ஸ்பாரோடூர் எவ்வாறு செயல்படுகிறது: அதன் திறன்களில் ஒரு ஆழமான ஆய்வு.

புதிய SparrowDoor வகைகளில் ஒன்று , முன்னர் ஆவணப்படுத்தப்பட்ட தீம்பொருளான Crowdoor உடன் ஒற்றுமையைப் பகிர்ந்து கொள்கிறது. இருப்பினும், இரண்டு பதிப்புகளும் கணிசமான மேம்பாடுகளை அறிமுகப்படுத்துகின்றன, அவற்றுள்:

• இணையான பணி செயல்படுத்தல் - பின்புறக் கதவு ஒரே நேரத்தில் பல கட்டளைகளை இயக்க முடியும், இது செயல்திறனை மேம்படுத்துகிறது.
• டைனமிக் கட்டளை கையாளுதல் - கட்டளைகள் ஒரு புதிய தொடரிழையைத் தூண்டுகின்றன, இது கட்டளை-மற்றும்-கட்டுப்பாட்டு (C&C) சேவையகத்துடன் ஒரு தனி இணைப்பை நிறுவுகிறது.
• பாதிக்கப்பட்டவரைக் கண்காணித்தல் - ஒவ்வொரு இணைப்பிலும் ஒரு தனித்துவமான பாதிக்கப்பட்டவர் ஐடி மற்றும் கட்டளை ஐடி ஆகியவை அடங்கும், இது C&C சேவையகம் நடந்துகொண்டிருக்கும் பணிகளை திறம்பட நிர்வகிக்க உதவுகிறது.

ஸ்பாரோடூர் அதன் செயல்பாட்டை மேம்படுத்தும் பல்வேறு திறன்களைக் கொண்டுள்ளது. இது ஒரு ப்ராக்ஸியை நிறுவலாம், ரகசிய தகவல்தொடர்புக்கு அனுமதிக்கலாம் மற்றும் நிகழ்நேர கட்டளை செயல்படுத்தலை செயல்படுத்த ஊடாடும் ஷெல் அமர்வுகளைத் தொடங்கலாம். பின்புற கதவு கோப்புகளைப் படித்தல், எழுதுதல் மற்றும் மாற்றியமைத்தல் உள்ளிட்ட பல்வேறு கோப்பு செயல்பாடுகளைக் கையாளும் திறன் கொண்டது, அதே நேரத்தில் கிடைக்கக்கூடிய கோப்பகங்கள் மற்றும் தரவை வரைபடமாக்க கோப்பு அமைப்பைக் கணக்கிடுகிறது. கூடுதலாக, இது விரிவான ஹோஸ்ட் தகவல்களைச் சேகரித்து, தாக்குபவர்களுக்கு சமரசம் செய்யப்பட்ட அமைப்பைப் பற்றிய நுண்ணறிவுகளை வழங்குகிறது. தேவைப்பட்டால், ஸ்பாரோடூர் தன்னை முழுவதுமாக அகற்றி, அதன் இருப்பின் தடயங்கள் அழிக்கப்படுவதை உறுதிசெய்யும்.

ஒரு மட்டு அணுகுமுறை: ஸ்பாரோடூரின் மேம்படுத்தப்பட்ட பதிப்பு

இரண்டாவது, மிகவும் மேம்பட்ட SparrowDoor மாறுபாடு ஒரு மட்டு, செருகுநிரல் அடிப்படையிலான வடிவமைப்பை அறிமுகப்படுத்துகிறது, ஒன்பது சிறப்பு தொகுதிகள் மூலம் அதன் திறன்களை விரிவுபடுத்துகிறது:

• Cmd – கணினி கட்டளைகளை இயக்கவும்.
• CFile – கோப்பு செயல்பாடுகளை நிர்வகிக்கவும்.
• CKeylogPlug – பதிவு விசை அழுத்தங்கள்
• CSocket – ஒரு TCP ப்ராக்ஸியை நிறுவுதல்
• CShell - ஊடாடும் ஷெல் அமர்வுகளைத் தொடங்கவும்
• CTransf – பாதிக்கப்பட்ட ஹோஸ்டுக்கும் C&C சேவையகத்திற்கும் இடையில் கோப்புகளை மாற்றவும்.
• CRdp - ஸ்கிரீன்ஷாட்களைப் பிடிக்கவும்
• CPro – இயங்கும் செயல்முறைகளைப் பட்டியலிட்டு நிறுத்தவும்.
• CFileMoniter – குறிப்பிட்ட கோப்பகங்களில் கோப்பு முறைமை மாற்றங்களைக் கண்காணிக்கவும்.

பிரபலமான குருவி: இன்னும் சுறுசுறுப்பாக, இன்னும் பரிணமித்து வருகிறது

இந்த சமீபத்திய செயல்பாடு, ஃபேமஸ்ஸ்பாரோ இன்னும் சுறுசுறுப்பாக இருப்பது மட்டுமல்லாமல், அதன் ஸ்பாரோடோர் பின்புறத்தின் தொடர்ச்சியான வளர்ச்சியிலும் முதலீடு செய்கிறது என்பதை உறுதிப்படுத்துகிறது. மட்டு திறன்களின் அறிமுகம் மற்றும் ஷேடோபேட் ஏற்றுக்கொள்ளப்பட்டதன் மூலம், குழு தெளிவாக வளர்ச்சியடைந்து வருகிறது, இது இன்னும் குறிப்பிடத்தக்க சைபர் பாதுகாப்பு அச்சுறுத்தலை முன்னோக்கி நகர்த்துகிறது.