SparrowDoor 後門變種

中國網路間諜組織 FamousSparrow 涉嫌對美國貿易集團和墨西哥研究機構發動新一輪攻擊，該組織部署了臭名昭著的SparrowDoor後門和ShadowPad惡意軟體。這項活動於 2024 年 7 月觀察到，標誌著該組織首次利用 ShadowPad，這是中國國家支持的行為者經常使用的工具。

SparrowDoor 的演進：更複雜的威脅

FamousSparrow 推出了其 SparrowDoor 後門的兩個新變種，其中一種是模組化的。這些版本代表了功能的重大飛躍，結合了命令的並行執行以提高效率。

這標誌著早期版本的重大升級。它允許惡意軟體執行檔案操作和互動式 shell 會話等命令，而不會拖延正在進行的任務。

間諜史：FamousSparrow 的著名攻擊

FamousSparrow於 2021 年 9 月首次被發現，與針對飯店、政府、工程公司和律師事務所的網路攻擊有關。該組織之前一直獨立運作，使用 SparrowDoor 作為其獨家植入物。

隨著時間的推移，研究人員發現 FamousSparrow 與其他中國駭客組織（如 Earth Estries、GhostEmperor 和Salt Typhoon）在戰術上有相似之處，後者以電信業為目標而聞名。然而，儘管存在這些重疊，FamousSparrow 仍然被歸類為具有獨特特徵的不同威脅組織。

攻擊鏈：漏洞如何展開

攻擊始於 FamousSparrow 在易受攻擊的 IIS 伺服器上部署 Web shell。雖然取得初始存取權限的具體方法仍不清楚，但受影響的兩個組織都運行著 Windows 和 Microsoft Exchange Server 的舊版本，這使它們成為主要目標。

一旦 Web shell 到位，它就可以作為遠端批次腳本的啟動板。這個腳本執行 Base64 編碼的 .NET Web shell，最終將 SparrowDoor 和 ShadowPad 部署到受感染的系統上。

SparrowDoor 的工作原理：深入了解其功能

其中一個新的 SparrowDoor 變種與先前記錄的惡意軟體Crowdoor有相似之處。但是，兩個版本都引入了實質的增強，包括：

• 並行任務執行－後門可以同時執行多個指令，從而提高效能。
• 動態命令處理－命令觸發一個新線程，該線程與命令和控制 (C&C) 伺服器建立單獨的連線。
• 受害者追蹤－每個連線都包含一個唯一的受害者 ID 和命令 ID，幫助 C＆C 伺服器有效地管理正在進行的任務。

SparrowDoor 配備了一系列可增強其功能的功能。它可以建立代理，允許隱蔽通信，並啟動互動式 shell 會話以實現即時命令執行。該後門還能夠處理各種文件操作，包括讀取、寫入和修改文件，同時列舉檔案系統以映射可用的目錄和資料。此外，它還收集詳細的主機信息，為攻擊者提供對受感染系統的了解。如果需要的話，SparrowDoor 甚至可以完全移除自身，確保抹去其存在的痕跡。

模組化方法：SparrowDoor 的增強版

第二種更先進的 SparrowDoor 變體引入了模組化、基於插件的設計，透過九個專門的模組擴展其功能：

• Cmd－執行系統指令
• CFile－管理文件操作
• CKeylogPlug – 記錄擊鍵
• CSocket – 建立 TCP 代理
• CShell – 啟動互動式 shell 會話
• CTransf – 在受感染主機和 C＆C 伺服器之間傳輸文件
• CRdp – 截取螢幕截圖
• CPro－列出並終止正在運行的進程
• CFileMoniter – 追蹤特定目錄中的檔案系統變化

FamousSparrow：依然活躍，依然發展

最近的這波活動證實 FamousSparrow 不僅仍然活躍，而且還在投資持續開發其 SparrowDoor 後門。隨著模組化功能的引入和 ShadowPad 的採用，該組織顯然正在不斷發展，並在未來構成更嚴重的網路安全威脅。