Знижка на кілька ліцензій
База даних загроз Розширена постійна загроза (APT) Варіанти бекдора SparrowDoor

Варіанти бекдора SparrowDoor

До Mezo року в Розширена постійна загроза (APT), Backdoors році
Перекласти на:
Українська

Китайська група кібершпигунства, відома як FamousSparrow, була пов’язана з новими атаками на американську торгову групу та мексиканський науково-дослідний інститут, розгорнувши свій горезвісний бекдор SparrowDoor разом із шкідливим програмним забезпеченням ShadowPad . Ця діяльність, яка спостерігалася в липні 2024 року, знаменує собою перший випадок, коли група використала ShadowPad, інструмент, який часто використовують китайські державні суб’єкти.

Еволюція SparrowDoor: більш складна загроза

Компанія FamousSparrow представила два нових варіанти свого бекдора SparrowDoor, один з яких є модульним. Ці версії представляють значний стрибок у функціональності, включаючи паралельне виконання команд для підвищення ефективності.

Це означає значне оновлення попередніх версій. Це дозволяє зловмисному програмному забезпеченню виконувати такі команди, як файлові операції та інтерактивні сеанси оболонки, не зупиняючи виконання поточних завдань.

Історія шпигунства: видатні атаки FamousSparrow

Спочатку розкритий у вересні 2021 року FamousSparrow був пов’язаний з кібератаками на готелі, уряди, інженерні фірми та юридичні офіси. Раніше група діяла незалежно, використовуючи SparrowDoor як ексклюзивний імплантат.

З часом дослідники помітили тактичну схожість між FamousSparrow та іншими китайськими хакерськими групами, такими як Earth Estries, GhostEmperor і Salt Typhoon , остання відома тим, що націлена на телекомунікаційний сектор. Однак, незважаючи на ці збіги, FamousSparrow залишається класифікованою як окрема група загроз з унікальними характеристиками.

Ланцюг атак: як розгортався пролом

Атака починається з того, що FamousSparrow розгортає веб-оболонку на вразливому сервері IIS. Хоча точний спосіб отримання початкового доступу залишається невідомим, обидві постраждалі організації використовували застарілі версії Windows і Microsoft Exchange Server, що робить їх основними цілями.

Коли веб-оболонка встановлена, вона слугує панеллю запуску для віддаленого пакетного сценарію. Цей сценарій виконує веб-оболонку .NET у кодуванні Base64, зрештою розгортаючи SparrowDoor і ShadowPad у скомпрометованій системі.

Як працює SparrowDoor: глибоке занурення в його можливості

Один із нових варіантів SparrowDoor схожий на Crowdoor, раніше задокументовану шкідливу програму. Однак обидві версії містять значні вдосконалення, зокрема:

  • Паралельне виконання завдань – бекдор може виконувати кілька команд одночасно, покращуючи продуктивність.
  • Динамічне оброблення команд – команди запускають новий потік, який встановлює окреме з’єднання з сервером командування та керування (C&C).
  • Відстеження жертв – кожне з’єднання містить унікальний ідентифікатор жертви та ідентифікатор команди, що допомагає командному серверу ефективно керувати поточними завданнями.

SparrowDoor оснащений рядом можливостей, які покращують його функціональність. Він може встановити проксі-сервер, забезпечити прихований зв’язок та ініціювати інтерактивні сеанси оболонки для виконання команд у реальному часі. Бекдор також здатний обробляти різні файлові операції, включаючи читання, запис і зміну файлів, одночасно перераховуючи файлову систему для відображення доступних каталогів і даних. Крім того, він збирає детальну інформацію про хост, надаючи зловмисникам уявлення про скомпрометовану систему. За потреби SparrowDoor може навіть повністю видалити себе, гарантуючи, що сліди його присутності будуть стерті.

Модульний підхід: вдосконалена версія SparrowDoor

Другий, більш просунутий варіант SparrowDoor представляє модульну конструкцію на основі плагінів, розширюючи її можливості за допомогою дев’яти спеціалізованих модулів:

  • Cmd – Виконання системних команд
  • CFile – Керування файловими операціями
  • CKeylogPlug – журнал натискань клавіш
  • CSocket – встановлення TCP-проксі
  • CShell – ініціювати інтерактивні сеанси оболонки
  • CTransf – передача файлів між зараженим хостом і сервером C&C
  • CRdp – знімки екрана
  • CPro – список і завершення запущених процесів
  • CFileMoniter – відстежує зміни файлової системи в певних каталогах

FamousSparrow: все ще активний, все ще розвивається

Ця нещодавня хвиля активності підтверджує, що FamousSparrow не тільки все ще активний, але й інвестує в постійний розвиток свого бекдору SparrowDoor. З впровадженням модульних можливостей і прийняттям ShadowPad група явно розвивається, створюючи ще більшу загрозу кібербезпеці.

В тренді

Шахрайство електронною поштою Mail Cloud Server

Фішинг, Спам
Інтернет наповнений оманливими схемами, призначеними для використання нічого не підозрюючих користувачів, тому важливо бути обережним під час перегляду та обробки електронних листів. Фішингові атаки, такі як шахрайство з електронною поштою Mail Cloud Server, є одними з найпоширеніших загроз, які використовують тактику соціальної інженерії для викрадення конфіденційної інформації. Розуміючи, як...

Уразливість CVE-2025-24201

Вразливість
Apple оголосила про випуск критичного оновлення безпеки для усунення вразливості нульового дня, ідентифікованої як CVE-2025-24201. Цей недолік, який активно використовувався в «надзвичайно складних» атаках, впливає на механізм веб-браузера WebKit. Проблема пов’язана з уразливістю запису поза межами, яка може дозволити зловмисникам обійти ізольоване програмне середовище веб-вмісту, що потенційно...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
28,661
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...