SerçeKapı

SparrowDoor olarak izlendiği bir yeni keşfedilen APT (Advanced Kalıcı Tehdit) grubu tarafından kullanılan ana tehdittir FamousSparrow . Bilgisayar korsanları, verileri sömürmek amacıyla dünya genelindeki otelleri hedef alıyor gibi görünüyor. Farklı durumlarda, FamousSparrow mühendislik şirketlerini, hukuk firmalarını ve devlet kuruluşlarını da tehlikeye attı.

SparrowDoor'un Dağıtımı

SparrowDoor arka kapısı, DLL kaçırma kullanan bir yükleyici aracılığıyla kurbanın makinesine teslim edilir. Yükleyici üç öğe kullanır - meşru bir K& Computing yürütülebilir dosyası (Indexer.exe), bozuk bir DLL dosyası (K7UI.dll) ve şifreli bir kabuk kodu (MpSvc.dll). Üçü de %PROGRAMDATA%\Software\ klasörüne bırakılır.

Kalıcılığı sağlamak için SparrowDoor, bir Registry Run anahtarına ve kötü amaçlı yazılımın ikili dosyasına kodlanmış yapılandırma verileri kullanılarak oluşturulan ve başlatılan bir hizmete güvenir. Daha sonra, sürecinin erişim belirtecini ayarlayarak ayrıcalıklarını yükseltmeye çalışır. Son adım, sistem verilerini Komuta ve Kontrol (C2, C&C) sunucusuna göndermeyi ve ardından gelen komutları beklemeyi içerir.

Tehdit Eden İşlevsellik

SparrowDoor 10'dan fazla farklı komutu tanır. Güvenliği ihlal edilmiş makinedeki dosya sistemini değiştirebilir - dosyaları oluşturma, yeniden adlandırma ve silme. Ayrıca dosya bilgileri (dosya öznitelikleri, dosya boyutu ve dosya yazma süresi) ve belirtilen dosyaların içeriği de dahil olmak üzere çeşitli verileri sunucuya aktarır. Kötü amaçlı yazılım mevcut süreçleri sonlandırabilir ve etkileşimli bir ters kabuk oluşturabilir. Bilgisayar korsanlarının izlerini gizlemeleri gerekiyorsa, SparrowDoor'a kalıcılık mekanizmasını kaldırmasını ve dosyalarını silmesini söyleyebilirler.