Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mối đe dọa dai dẳng nâng cao (APT) Các biến thể cửa sau SparrowDoor

Các biến thể cửa sau SparrowDoor

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:
Tiếng Việt Nam

Nhóm gián điệp mạng Trung Quốc có tên là FamousSparrow đã bị liên kết với các cuộc tấn công mới vào một nhóm thương mại Hoa Kỳ và một viện nghiên cứu của Mexico, triển khai cửa hậu SparrowDoor khét tiếng của mình cùng với phần mềm độc hại ShadowPad . Hoạt động này, được phát hiện vào tháng 7 năm 2024, đánh dấu lần đầu tiên nhóm này tận dụng ShadowPad, một công cụ thường được các tác nhân do nhà nước Trung Quốc tài trợ sử dụng.

Sự phát triển của SparrowDoor: Một mối đe dọa tinh vi hơn

FamousSparrow đã giới thiệu hai biến thể mới của cửa hậu SparrowDoor, một trong số đó là dạng mô-đun. Các phiên bản này đại diện cho bước nhảy vọt đáng kể về chức năng, kết hợp thực thi song song các lệnh để nâng cao hiệu quả.

Đây là bản nâng cấp lớn so với các phiên bản trước. Nó cho phép phần mềm độc hại thực hiện các lệnh như thao tác tệp và phiên shell tương tác mà không làm chậm các tác vụ đang diễn ra.

Lịch sử gián điệp: Những cuộc tấn công đáng chú ý của FamousSparrow

Ban đầu được phát hiện vào tháng 9 năm 2021, FamousSparrow đã được liên kết với các cuộc tấn công mạng vào các khách sạn, chính phủ, công ty kỹ thuật và văn phòng luật. Nhóm này trước đây đã hoạt động độc lập, sử dụng SparrowDoor làm phần mềm cấy ghép độc quyền.

Theo thời gian, các nhà nghiên cứu đã quan sát thấy những điểm tương đồng về mặt chiến thuật giữa FamousSparrow và các nhóm tin tặc Trung Quốc khác như Earth Estries, GhostEmperor và Salt Typhoon , nhóm sau được biết đến với mục tiêu là ngành viễn thông. Tuy nhiên, bất chấp những điểm trùng lặp này, FamousSparrow vẫn được phân loại là một nhóm đe dọa riêng biệt với những đặc điểm độc đáo.

Chuỗi tấn công: Sự vi phạm diễn ra như thế nào

Cuộc tấn công bắt đầu bằng việc FamousSparrow triển khai một web shell trên một máy chủ IIS dễ bị tấn công. Mặc dù phương pháp chính xác để có được quyền truy cập ban đầu vẫn chưa được biết, cả hai tổ chức bị ảnh hưởng đều đang chạy các phiên bản Windows và Microsoft Exchange Server lỗi thời, khiến chúng trở thành mục tiêu chính.

Sau khi web shell được cài đặt, nó sẽ đóng vai trò là bệ phóng cho một tập lệnh hàng loạt từ xa. Tập lệnh này thực thi một web shell .NET được mã hóa Base64, cuối cùng triển khai cả SparrowDoor và ShadowPad vào hệ thống bị xâm phạm.

SparrowDoor hoạt động như thế nào: Đi sâu vào khả năng của nó

Một trong những biến thể SparrowDoor mới có điểm tương đồng với Crowdoor, một phần mềm độc hại đã được ghi nhận trước đó. Tuy nhiên, cả hai phiên bản đều có những cải tiến đáng kể, bao gồm:

  • Thực hiện tác vụ song song – Cửa sau có thể chạy nhiều lệnh cùng lúc, cải thiện hiệu suất.
  • Xử lý lệnh động – Lệnh kích hoạt một luồng mới, thiết lập kết nối riêng biệt với máy chủ Chỉ huy và Kiểm soát (C&C).
  • Theo dõi nạn nhân – Mỗi kết nối bao gồm một ID nạn nhân và ID lệnh duy nhất, giúp máy chủ C&C quản lý các tác vụ đang diễn ra một cách hiệu quả.

SparrowDoor được trang bị một loạt các khả năng giúp tăng cường chức năng của nó. Nó có thể thiết lập proxy, cho phép giao tiếp bí mật và khởi tạo các phiên shell tương tác để cho phép thực thi lệnh theo thời gian thực. Cửa hậu cũng có khả năng xử lý nhiều hoạt động tệp khác nhau, bao gồm đọc, ghi và sửa đổi tệp, đồng thời liệt kê hệ thống tệp để lập bản đồ các thư mục và dữ liệu khả dụng. Ngoài ra, nó thu thập thông tin máy chủ chi tiết, cung cấp cho kẻ tấn công thông tin chi tiết về hệ thống bị xâm phạm. Nếu cần, SparrowDoor thậm chí có thể tự xóa hoàn toàn, đảm bảo rằng dấu vết về sự hiện diện của nó bị xóa.

Một cách tiếp cận theo mô-đun: Phiên bản nâng cao của SparrowDoor

Phiên bản SparrowDoor thứ hai tiên tiến hơn giới thiệu thiết kế dạng mô-đun, dựa trên plugin, mở rộng khả năng thông qua chín mô-đun chuyên dụng:

  • Cmd – Thực hiện lệnh hệ thống
  • CFile – Quản lý hoạt động tập tin
  • CKeylogPlug – Ghi lại các lần nhấn phím
  • CSocket – Thiết lập proxy TCP
  • CShell – Khởi tạo các phiên shell tương tác
  • CTransf – Chuyển tập tin giữa máy chủ bị nhiễm và máy chủ C&C
  • CRdp – Chụp ảnh màn hình
  • CPro – Liệt kê và chấm dứt các tiến trình đang chạy
  • CFileMoniter – Theo dõi những thay đổi của hệ thống tập tin trong các thư mục cụ thể

FamousSparrow: Vẫn Hoạt Động, Vẫn Phát Triển

Làn sóng hoạt động gần đây này xác nhận rằng FamousSparrow không chỉ vẫn hoạt động mà còn đầu tư vào việc phát triển liên tục cửa hậu SparrowDoor của mình. Với việc giới thiệu các khả năng mô-đun và áp dụng ShadowPad, nhóm này rõ ràng đang phát triển, tạo ra mối đe dọa an ninh mạng thậm chí còn đáng kể hơn trong tương lai.

xu hướng

Lừa đảo qua email trên máy chủ Mail Cloud

Lừa đảo, Thư rác
Internet tràn ngập các chương trình lừa đảo được thiết kế để khai thác người dùng không nghi ngờ, khiến việc luôn thận trọng khi duyệt và xử lý email trở nên cần thiết. Các cuộc tấn công lừa đảo, như trò lừa đảo qua email Mail Cloud Server, là một trong những mối đe dọa phổ biến nhất, sử dụng các chiến thuật kỹ thuật xã hội để đánh cắp thông tin nhạy cảm. Bằng cách hiểu cách thức hoạt động của...

Lỗ hổng CVE-2025-24201

Sự dễ bị tổn thương
Apple đã công bố bản cập nhật bảo mật quan trọng để khắc phục lỗ hổng zero-day, được xác định là CVE-2025-24201. Lỗ hổng này, đã bị khai thác tích cực trong các cuộc tấn công 'cực kỳ tinh vi', ảnh hưởng đến công cụ trình duyệt Web WebKit. Sự cố liên quan đến lỗ hổng ghi ngoài giới hạn có thể cho phép kẻ tấn công bỏ qua hộp cát Nội dung Web, có khả năng gây nguy hiểm cho bảo mật thiết bị....

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
28,661
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...