SparrowDoor 后门变种

中国网络间谍组织 FamousSparrow 涉嫌对美国贸易集团和墨西哥研究机构发动新一轮攻击，该组织部署了臭名昭著的SparrowDoor后门和ShadowPad恶意软件。此次活动于 2024 年 7 月发生，标志着该组织首次利用 ShadowPad，这是中国政府支持的行为者经常使用的一种工具。

SparrowDoor 的演变：更复杂的威胁

FamousSparrow 推出了 SparrowDoor 后门的两个新变种，其中一个是模块化的。这些版本在功能上实现了重大飞跃，加入了命令并行执行功能以提高效率。

这是该版本相对于早期版本的重大升级。它允许恶意软件执行文件操作和交互式 shell 会话等命令，而不会拖延正在进行的任务。

间谍史：FamousSparrow 的著名攻击

FamousSparrow于 2021 年 9 月首次被发现，与针对酒店、政府、工程公司和律师事务所的网络攻击有关。该组织之前一直独立运作，使用 SparrowDoor 作为其独家植入物。

随着时间的推移，研究人员发现 FamousSparrow 与其他中国黑客组织（如 Earth Estries、GhostEmperor 和Salt Typhoon）在战术上存在相似之处，后者以针对电信行业而闻名。然而，尽管存在这些重叠之处，FamousSparrow 仍然被归类为具有独特特征的独特威胁组织。

攻击链：漏洞如何展开

攻击始于 FamousSparrow 在易受攻击的 IIS 服务器上部署 Web Shell。虽然获取初始访问权限的具体方法尚不清楚，但受影响的两个组织都运行着 Windows 和 Microsoft Exchange Server 的旧版本，这使它们成为主要目标。

一旦 Web Shell 到位，它就会成为远程批处理脚本的启动板。此脚本执行 Base64 编码的 .NET Web Shell，最终将 SparrowDoor 和 ShadowPad 部署到受感染的系统上。

SparrowDoor 的工作原理：深入了解其功能

SparrowDoor 的新变种之一与之前记录的恶意软件Crowdoor有相似之处。但是，这两个版本都引入了实质性的增强功能，包括：

• 并行任务执行——后门可以同时运行多个命令，从而提高性能。
• 动态命令处理——命令触发一个新线程，该线程与命令和控制 (C&C) 服务器建立单独的连接。
• 受害者追踪——每个连接都包含一个唯一的受害者 ID 和命令 ID，帮助 C＆C 服务器有效地管理正在进行的任务。

SparrowDoor 配备了一系列增强其功能的功能。它可以建立代理，允许隐蔽通信，并启动交互式 shell 会话以实现实时命令执行。该后门还能够处理各种文件操作，包括读取、写入和修改文件，同时枚举文件系统以映射可用的目录和数据。此外，它还收集详细的主机信息，为攻击者提供对受感染系统的洞察。如果需要，SparrowDoor 甚至可以完全删除自身，确保其存在的痕迹被抹去。

模块化方法：SparrowDoor 的增强版

第二种更先进的 SparrowDoor 变体引入了模块化、基于插件的设计，通过九个专门的模块扩展其功能：

• Cmd——执行系统命令
• CFile——管理文件操作
• CKeylogPlug – 记录击键
• CSocket – 建立 TCP 代理
• CShell – 启动交互式 shell 会话
• CTransf – 在受感染主机和 C＆C 服务器之间传输文件
• CRdp – 截取屏幕截图
• CPro——列出并终止正在运行的进程
• CFileMoniter – 跟踪特定目录中的文件系统变化

FamousSparrow：依然活跃，依然发展

最近的这波活动证实，FamousSparrow 不仅仍然活跃，而且还在投资持续开发其 SparrowDoor 后门。随着模块化功能的引入和 ShadowPad 的采用，该组织显然正在不断发展，未来将构成更严重的网络安全威胁。