Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) Mga Variant ng SparrowDoor Backdoor

Mga Variant ng SparrowDoor Backdoor

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Mga backdoor
Isalin To:
Wikang Filipino

Ang Chinese cyber espionage group na kilala bilang FamousSparrow ay na-link sa mga bagong pag-atake sa isang US trade group at isang Mexican research institute, na nagde-deploy ng kilalang SparrowDoor backdoor nito sa tabi ng ShadowPad malware. Ang aktibidad, na naobserbahan noong Hulyo 2024, ay minarkahan ang unang pagkakataon na ginamit ng grupo ang ShadowPad, isang tool na kadalasang ginagamit ng mga aktor na inisponsor ng estado ng China.

Ang Ebolusyon ng SparrowDoor: Isang Mas Sopistikadong Banta

Ipinakilala ng FamousSparrow ang dalawang bagong variant ng SparrowDoor backdoor nito, ang isa ay modular. Ang mga bersyon na ito ay kumakatawan sa isang makabuluhang hakbang sa pag-andar, na nagsasama ng parallel na pagpapatupad ng mga utos upang mapahusay ang kahusayan.

Ito ay nagmamarka ng isang malaking pag-upgrade mula sa mga naunang bersyon. Binibigyang-daan nito ang malware na magsagawa ng mga utos tulad ng mga pagpapatakbo ng file at mga interactive na sesyon ng shell nang hindi pinipigilan ang mga patuloy na gawain.

Isang Kasaysayan ng Espionage: Mga Kapansin-pansing Pag-atake ng FamousSparrow

Paunang natuklasan noong Setyembre 2021, ang FamousSparrow ay na-link sa mga cyber attack sa mga hotel, gobyerno, engineering firm at law office. Ang grupo ay dati nang nakapag-iisa, gamit ang SparrowDoor bilang eksklusibong implant nito.

Sa paglipas ng panahon, naobserbahan ng mga mananaliksik ang mga taktikal na pagkakatulad sa pagitan ng FamousSparrow at iba pang Chinese hacking group tulad ng Earth Estries, GhostEmperor, at Salt Typhoon , ang huli na kilala sa pag-target sa sektor ng telecom. Gayunpaman, sa kabila ng mga overlap na ito, ang FamousSparrow ay nananatiling inuri bilang isang natatanging pangkat ng pagbabanta na may mga natatanging katangian.

Ang Attack Chain: Paano Naganap ang Paglabag

Nagsisimula ang pag-atake sa pag-deploy ng FamousSparrow ng isang web shell sa isang vulnerable na server ng IIS. Habang ang eksaktong paraan ng pagkakaroon ng paunang pag-access ay nananatiling hindi alam, ang parehong mga apektadong organisasyon ay nagpapatakbo ng mga lumang bersyon ng Windows at Microsoft Exchange Server, na ginagawa silang pangunahing mga target.

Kapag nasa lugar na ang web shell, nagsisilbi itong launchpad para sa isang remote na batch script. Ang script na ito ay nagpapatupad ng Base64-encoded .NET web shell, sa huli ay nagde-deploy ng SparrowDoor at ShadowPad sa nakompromisong system.

Paano Gumagana ang SparrowDoor: Isang Malalim na Pagsusuri sa Mga Kakayahan Nito

Ang isa sa mga bagong variant ng SparrowDoor ay may pagkakatulad sa Crowdoor, isang dati nang nadokumentong malware. Gayunpaman, ang parehong mga bersyon ay nagpapakilala ng mga makabuluhang pagpapahusay, kabilang ang:

  • Parallel task execution – Ang backdoor ay maaaring magpatakbo ng maraming command nang sabay-sabay, na nagpapahusay sa performance.
  • Dynamic na paghawak ng command – Nagti-trigger ang mga command ng bagong thread, na nagtatatag ng hiwalay na koneksyon sa Command-and-Control (C&C) server.
  • Victim tracking – Ang bawat koneksyon ay may kasamang natatanging victim ID at command ID, na tumutulong sa C&C server na pamahalaan ang mga kasalukuyang gawain nang mahusay.

Ang SparrowDoor ay nilagyan ng hanay ng mga kakayahan na nagpapahusay sa paggana nito. Maaari itong magtatag ng isang proxy, magbigay-daan para sa patagong komunikasyon, at magpasimula ng mga interactive na sesyon ng shell upang paganahin ang real-time na pagpapatupad ng command. Ang backdoor ay may kakayahang pangasiwaan ang iba't ibang mga pagpapatakbo ng file, kabilang ang pagbabasa, pagsusulat, at pagbabago ng mga file, habang sabay-sabay na binibilang ang file system upang mapalabas ang mga available na direktoryo at data. Bukod pa rito, nangangalap ito ng detalyadong impormasyon ng host, na nagbibigay sa mga umaatake ng mga insight sa nakompromisong system. Kung kinakailangan, maaaring alisin ng SparrowDoor ang sarili nito nang buo, tinitiyak na ang mga bakas ng presensya nito ay mabubura.

Isang Modular na Diskarte: Pinahusay na Bersyon ng SparrowDoor

Ang pangalawa, mas advanced na variant ng SparrowDoor ay nagpapakilala ng isang modular, nakabatay sa plugin na disenyo, na nagpapalawak ng mga kakayahan nito sa pamamagitan ng siyam na espesyal na module:

  • Cmd - Ipatupad ang mga utos ng system
  • CFile – Pamahalaan ang mga pagpapatakbo ng file
  • CKeylogPlug – Mag-log ng mga keystroke
  • CSocket – Magtatag ng TCP proxy
  • CShell – Magsimula ng mga interactive na sesyon ng shell
  • CTransf – Maglipat ng mga file sa pagitan ng infected na host at ng C&C server
  • CRdp – Kumuha ng mga screenshot
  • CPro – Ilista at wakasan ang mga tumatakbong proseso
  • CFileMoniter – Subaybayan ang mga pagbabago sa file system sa mga partikular na direktoryo

FamousSparrow: Aktibo Pa rin, Nag-evolve pa rin

Ang kamakailang alon ng aktibidad na ito ay nagpapatunay na ang FamousSparrow ay hindi lamang aktibo ngunit namumuhunan din sa patuloy na pag-unlad ng SparrowDoor backdoor nito. Sa pagpapakilala ng mga modular na kakayahan at ang pag-ampon ng ShadowPad, malinaw na umuunlad ang grupo, na nagpapakita ng mas makabuluhang banta sa cybersecurity sa pasulong.

Trending

Pinaka Nanood

Naglo-load...