SparrowDoor Backdoor หลากหลายรุ่น

กลุ่มจารกรรมไซเบอร์ของจีนที่รู้จักกันในชื่อ FamousSparrow มีส่วนเกี่ยวข้องกับการโจมตีกลุ่มการค้าของสหรัฐฯ และสถาบันวิจัยของเม็กซิโก โดยใช้แบ็คดอร์ SparrowDoor ที่มีชื่อเสียงร่วมกับมัลแวร์ ShadowPad กิจกรรมดังกล่าวซึ่งพบเห็นในเดือนกรกฎาคม 2024 ถือเป็นครั้งแรกที่กลุ่มใช้ประโยชน์จาก ShadowPad ซึ่งเป็นเครื่องมือที่ผู้กระทำความผิดที่ได้รับการสนับสนุนจากรัฐบาลจีนมักใช้

วิวัฒนาการของ SparrowDoor: ภัยคุกคามที่ซับซ้อนยิ่งขึ้น

FamousSparrow ได้เปิดตัวแบ็คดอร์ SparrowDoor รุ่นใหม่ 2 รุ่น ซึ่งหนึ่งในนั้นเป็นแบบโมดูลาร์ ทั้งสองรุ่นนี้ถือเป็นก้าวกระโดดครั้งสำคัญในด้านการทำงาน โดยผสานรวมการดำเนินการคำสั่งแบบขนานเพื่อเพิ่มประสิทธิภาพ

ถือเป็นการอัปเกรดครั้งสำคัญจากเวอร์ชันก่อนหน้า ช่วยให้มัลแวร์สามารถดำเนินการคำสั่งต่างๆ เช่น การดำเนินการกับไฟล์และเซสชันเชลล์แบบโต้ตอบได้ โดยไม่ทำให้การทำงานที่กำลังดำเนินอยู่หยุดชะงัก

ประวัติศาสตร์การจารกรรม: การโจมตีครั้งสำคัญของ FamousSparrow

FamousSparrow ถูกเปิดเผยครั้งแรกในเดือนกันยายน 2021 โดยเชื่อมโยงกับการโจมตีทางไซเบอร์ต่อโรงแรม รัฐบาล บริษัทวิศวกรรม และสำนักงานกฎหมาย ก่อนหน้านี้กลุ่มนี้ดำเนินการอย่างอิสระโดยใช้ SparrowDoor เป็นอุปกรณ์ฝังตัวพิเศษ

เมื่อเวลาผ่านไป นักวิจัยได้สังเกตเห็นความคล้ายคลึงเชิงกลยุทธ์ระหว่าง FamousSparrow กับกลุ่มแฮกเกอร์ชาวจีนกลุ่มอื่นๆ เช่น Earth Estries, GhostEmperor และ Salt Typhoon ซึ่งกลุ่มหลังนี้รู้จักกันดีว่ามีเป้าหมายเป็นภาคโทรคมนาคม อย่างไรก็ตาม แม้จะมีความทับซ้อนกันเหล่านี้ FamousSparrow ยังคงจัดอยู่ในกลุ่มภัยคุกคามที่มีลักษณะเฉพาะที่แตกต่างกัน

ห่วงโซ่การโจมตี: การละเมิดเกิดขึ้นได้อย่างไร

การโจมตีเริ่มต้นด้วยการที่ FamousSparrow ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์ IIS ที่มีช่องโหว่ แม้ว่าวิธีการที่แน่นอนในการเข้าถึงเบื้องต้นยังไม่เป็นที่ทราบ แต่ทั้งสององค์กรที่ได้รับผลกระทบต่างก็ใช้ Windows และ Microsoft Exchange Server เวอร์ชันเก่า ซึ่งทำให้ทั้งสององค์กรตกเป็นเป้าหมายหลัก

เมื่อเว็บเชลล์พร้อมใช้งานแล้ว เชลล์จะทำหน้าที่เป็นแท่นเปิดตัวสำหรับสคริปต์แบตช์ระยะไกล สคริปต์นี้จะดำเนินการเว็บเชลล์ .NET ที่เข้ารหัสด้วย Base64 ซึ่งสุดท้ายจะติดตั้งทั้ง SparrowDoor และ ShadowPad ลงบนระบบที่ถูกบุกรุก

SparrowDoor ทำงานอย่างไร: เจาะลึกความสามารถต่างๆ ของมัน

SparrowDoor รุ่นใหม่ตัวหนึ่งมีความคล้ายคลึงกับ Crowdoor ซึ่งเป็นมัลแวร์ที่เคยมีการบันทึกไว้ก่อนหน้านี้ อย่างไรก็ตาม ทั้งสองเวอร์ชันมีการปรับปรุงที่สำคัญหลายประการ ได้แก่:

• การดำเนินการงานแบบคู่ขนาน – แบ็คดอร์สามารถรันคำสั่งหลายคำสั่งพร้อมกันได้ ช่วยเพิ่มประสิทธิภาพ
• การจัดการคำสั่งแบบไดนามิก – คำสั่งจะทริกเกอร์เธรดใหม่ซึ่งสร้างการเชื่อมต่อแยกกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C)
• การติดตามเหยื่อ – การเชื่อมต่อแต่ละครั้งมี ID เหยื่อและ ID คำสั่งเฉพาะ ช่วยให้เซิร์ฟเวอร์ C&C จัดการงานที่กำลังดำเนินอยู่ได้อย่างมีประสิทธิภาพ

SparrowDoor มาพร้อมความสามารถมากมายที่ช่วยเพิ่มฟังก์ชันการใช้งาน โดยสามารถสร้างพร็อกซี อนุญาตให้สื่อสารลับ และเริ่มต้นเซสชันเชลล์แบบโต้ตอบเพื่อให้สามารถดำเนินการคำสั่งแบบเรียลไทม์ได้ นอกจากนี้ แบ็กดอร์ยังสามารถจัดการการทำงานของไฟล์ต่างๆ ได้ รวมถึงการอ่าน การเขียน และการแก้ไขไฟล์ ขณะเดียวกันก็ระบุระบบไฟล์เพื่อสร้างไดเร็กทอรีและข้อมูลที่มีอยู่ นอกจากนี้ ยังรวบรวมข้อมูลโฮสต์โดยละเอียดเพื่อให้ผู้โจมตีทราบข้อมูลเชิงลึกเกี่ยวกับระบบที่ถูกบุกรุก หากจำเป็น SparrowDoor ยังสามารถลบตัวเองออกได้ทั้งหมด เพื่อให้แน่ใจว่าร่องรอยของการมีอยู่ของมันจะถูกลบออกไป

แนวทางแบบโมดูลาร์: เวอร์ชันปรับปรุงของ SparrowDoor

SparrowDoor รุ่นที่สองซึ่งมีความล้ำหน้ากว่านั้นมาพร้อมกับการออกแบบแบบโมดูลาร์ที่ใช้ปลั๊กอิน โดยขยายขีดความสามารถผ่านโมดูลเฉพาะทางเก้าโมดูล:

• Cmd – ดำเนินการคำสั่งระบบ
• CFile – จัดการการทำงานของไฟล์
• CKeylogPlug – บันทึกการกดแป้น
• CSocket – สร้างพร็อกซี TCP
• CShell – เริ่มต้นเซสชันเชลล์แบบโต้ตอบ
• CTransf – ถ่ายโอนไฟล์ระหว่างโฮสต์ที่ติดไวรัสและเซิร์ฟเวอร์ C&C
• CRdp – จับภาพหน้าจอ
• CPro – แสดงรายการและยุติกระบวนการที่กำลังทำงาน
• CFileMoniter – ติดตามการเปลี่ยนแปลงระบบไฟล์ในไดเร็กทอรีที่ระบุ

FamousSparrow: ยังคงดำเนินการอยู่ และยังคงพัฒนาต่อไป

คลื่นความเคลื่อนไหวล่าสุดนี้ยืนยันว่า FamousSparrow ไม่เพียงแต่ยังคงดำเนินการอยู่เท่านั้น แต่ยังลงทุนในการพัฒนาแบ็คดอร์ SparrowDoor อย่างต่อเนื่องอีกด้วย ด้วยการเปิดตัวความสามารถแบบโมดูลาร์และการนำ ShadowPad มาใช้ กลุ่มนี้จึงพัฒนาอย่างเห็นได้ชัด และก่อให้เกิดภัยคุกคามทางไซเบอร์ที่สำคัญยิ่งขึ้นในอนาคต