Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) SparrowDoor Arka Kapı Çeşitleri

SparrowDoor Arka Kapı Çeşitleri

Mezo'de Gelişmiş Sürekli Tehdit (APT), Arka kapılar'de
Çevir:
Türkçe

FamousSparrow olarak bilinen Çinli siber casusluk grubu, ShadowPad kötü amaçlı yazılımının yanı sıra kötü şöhretli SparrowDoor arka kapısını kullanarak bir ABD ticaret grubuna ve bir Meksika araştırma enstitüsüne yönelik yeni saldırılarla ilişkilendirildi. Temmuz 2024'te gözlemlenen etkinlik, grubun Çin devlet destekli aktörler tarafından sıklıkla kullanılan bir araç olan ShadowPad'i ilk kez kullandığı zamanı işaret ediyor.

SparrowDoor’un Evrimi: Daha Karmaşık Bir Tehdit

FamousSparrow, biri modüler olan SparrowDoor arka kapısının iki yeni çeşidini tanıttı. Bu versiyonlar, verimliliği artırmak için komutların paralel yürütülmesini içeren işlevsellikte önemli bir sıçramayı temsil ediyor.

Bu, önceki sürümlere göre önemli bir yükseltmedir. Kötü amaçlı yazılımın devam eden görevleri durdurmadan dosya işlemleri ve etkileşimli kabuk oturumları gibi komutları yürütmesine olanak tanır.

Casusluğun Tarihi: FamousSparrow’un Önemli Saldırıları

İlk olarak Eylül 2021'de ortaya çıkarılan FamousSparrow , otellere, hükümetlere, mühendislik firmalarına ve hukuk bürolarına yönelik siber saldırılarla ilişkilendirildi. Grup daha önce bağımsız olarak faaliyet gösteriyordu ve SparrowDoor'u özel implantı olarak kullanıyordu.

Zamanla araştırmacılar, FamousSparrow ile Earth Estries, GhostEmperor ve Salt Typhoon gibi diğer Çinli hack grupları arasında taktiksel benzerlikler gözlemlediler. Salt Typhoon telekom sektörünü hedef alan bir grup olarak biliniyor. Ancak bu örtüşmelere rağmen FamousSparrow, benzersiz özelliklere sahip ayrı bir tehdit grubu olarak sınıflandırılmaya devam ediyor.

Saldırı Zinciri: İhlal Nasıl Gerçekleşti?

Saldırı, FamousSparrow'un savunmasız bir IIS sunucusuna bir web kabuğu yerleştirmesiyle başlıyor. İlk erişimi elde etmenin kesin yöntemi bilinmezken, etkilenen her iki kuruluş da Windows ve Microsoft Exchange Server'ın eski sürümlerini çalıştırıyordu ve bu da onları birincil hedef haline getiriyordu.

Web kabuğu yerleştirildiğinde, uzak bir toplu komut dosyası için bir fırlatma rampası görevi görür. Bu komut dosyası, Base64 kodlu bir .NET web kabuğunu yürütür ve sonunda hem SparrowDoor'u hem de ShadowPad'i tehlikeye atılan sisteme dağıtır.

SparrowDoor Nasıl Çalışır: Yeteneklerine Derinlemesine Bir Bakış

Yeni SparrowDoor varyantlarından biri, daha önce belgelenmiş bir kötü amaçlı yazılım olan Crowdoor ile benzerlikler taşıyor. Ancak her iki sürüm de şunlar dahil olmak üzere önemli geliştirmeler sunuyor:

  • Paralel görev yürütme – Arka kapı aynı anda birden fazla komutu çalıştırabilir ve bu da performansı artırır.
  • Dinamik komut işleme – Komutlar, Komuta ve Kontrol (C&C) sunucusuna ayrı bir bağlantı kuran yeni bir iş parçacığını tetikler.
  • Mağdur takibi – Her bağlantı benzersiz bir mağdur kimliği ve komut kimliği içerir ve bu da C&C sunucusunun devam eden görevleri verimli bir şekilde yönetmesine yardımcı olur.

SparrowDoor, işlevselliğini artıran bir dizi yetenekle donatılmıştır. Bir proxy kurabilir, gizli iletişime izin verebilir ve gerçek zamanlı komut yürütmeyi etkinleştirmek için etkileşimli kabuk oturumları başlatabilir. Arka kapı ayrıca dosyaları okuma, yazma ve değiştirme gibi çeşitli dosya işlemlerini işleyebilirken, aynı anda kullanılabilir dizinleri ve verileri haritalamak için dosya sistemini sıralayabilir. Ek olarak, ayrıntılı ana bilgisayar bilgileri toplayarak saldırganlara tehlikeye atılmış sistem hakkında içgörüler sağlar. Gerektiğinde SparrowDoor, varlığının izlerinin silinmesini sağlayarak kendisini tamamen kaldırabilir.

Modüler Bir Yaklaşım: SparrowDoor’un Gelişmiş Sürümü

İkinci ve daha gelişmiş SparrowDoor çeşidi, dokuz özel modül aracılığıyla yeteneklerini genişleten modüler, eklenti tabanlı bir tasarım sunuyor:

  • Cmd – Sistem komutlarını yürüt
  • CFile – Dosya işlemlerini yönetin
  • CKeylogPlug – Tuş vuruşlarını günlüğe kaydet
  • CSocket – Bir TCP proxy'si kurun
  • CShell – Etkileşimli kabuk oturumlarını başlatın
  • CTransf – Virüslü ana bilgisayar ile C&C sunucusu arasında dosya aktarımı
  • CRdp – Ekran görüntüleri yakalama
  • CPro – Çalışan işlemleri listele ve sonlandır
  • CFileMoniter – Belirli dizinlerdeki dosya sistemi değişikliklerini izleyin

FamousSparrow: Hala Aktif, Hala Gelişiyor

Bu son aktivite dalgası, FamousSparrow'un yalnızca hala aktif olmadığını, aynı zamanda SparrowDoor arka kapısının sürekli geliştirilmesine yatırım yaptığını doğruluyor. Modüler yeteneklerin tanıtılması ve ShadowPad'in benimsenmesiyle, grup açıkça evrim geçiriyor ve ileride daha da önemli bir siber güvenlik tehdidi oluşturuyor.

trend

Mail Cloud Server E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
İnternet, şüphesiz kullanıcıları sömürmek için tasarlanmış aldatıcı planlarla doludur, bu da e-postaları tararken ve işlerken dikkatli olmayı gerekli kılar. Mail Cloud Server e-posta dolandırıcılığı gibi kimlik avı saldırıları, hassas bilgileri çalmak için sosyal mühendislik taktikleri kullanan en yaygın tehditler arasındadır. Bu dolandırıcılığın nasıl işlediğini anlayarak, kullanıcılar bu...

En çok görüntülenen

Yükleniyor...