Недавний отчет о киберугрозах раскрывает деятельность известной группы разработчиков Sparrow APT, которая представила свой новый бэкдор SparrowDoor. Данный бэкдор включает в себя сложные технологии и схемы загрузки, ставшие причиной взломов сетей в финансовом секторе США и мексиканских исследовательских институтах.
Технические подробности SparrowDoor
SparrowDoor включает две недокументированные версии, использующие схему загрузки trident для выполнения своих задач. Вредоносные компоненты используют легальный исполняемый файл K7AVMScn.exe для загрузки библиотек DLL, среди которых выделяются файлы:
- K7AVWScn.dll
- K7AVWScn.doc
Эти файлы зашифрованы с использованием жестко заданного ключа RC4. Особенно примечательно, что одна из версий имеет сходство с бэкдором CrowDoor, приписываемым группе Earth Estries.
Методы вторжения и эксплуатация уязвимостей
Проникновения, осуществленные группой FamousSparrow, привели к внедрению бэкдора ShadowPad. Первоначальный доступ к системам был получен через веб-оболочки, развернутые на устаревших серверах IIS, однако конкретные эксплойты остались неизвестными. Атакам способствовала загрузка пакетного сценария, настраивающего веб-оболочку .NET в сетях жертвы с использованием шифрования AES.
После заражения: действия злоумышленников
После вторжения злоумышленники осуществляли:
- Сбор информации о хосте
- Запуск сеансов PowerShell
- Использование PowerHub для дальнейшей эксплуатации
Оказавшись в системе, атака включала метод повышения привилегий BadPotato, что позволило злоумышленникам загрузить SparrowDoor с использованием легитимного исполняемого файла антивируса.
Современные разработки и архитектура
Новые версии SparrowDoor продемонстрировали значительные улучшения в коде и архитектуре. Включенные новшества обеспечивают:
- Параллельное выполнение команд
- Улучшенные механизмы сохранения данных через создание служб или разделов реестра
- Динамическая обработка команд с возможностью установки новых модулей для избежания обнаружения
Бэкдор проверяет существующие экземпляры и подключается к нескольким серверам управления (C2), используя собственную модель взаимодействия.
Подозрительные связи и будущее угроз
Обнаруженный сервер C2 использовал самозаверяющий сертификат TLS, имитируя сертификаты, используемые Dell, что наводит на размышления о возможных связях между FamousSparrow и другими китайскими участниками APT, такими как Salt Typhoon.
Несмотря на ранние оценки о бездействии FamousSparrow в период с 2022 по 2024 год, недавние данные подтверждают активное развитие и операционную деятельность группы, направленную на правительственные секторы в Центральной Америке. Этот изменяющийся ландшафт угроз подчеркивает необходимость постоянного мониторинга и оценки методов и инструментария, используемых APT-групп для повышения уровня защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза: бэкдор SparrowDoor и его эволюция".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.