SparrowDoor Backdoor, a FamousSparrow APT egyedi trójai
A FamousSparrow Advanced Persistent Threat (APT) csoport meglehetősen új név a számítógépes bűnözés területén. A közelmúltban a rosszindulatú programokkal foglalkozó kutatók figyelmesen figyelték tevékenységüket és kampányaikat, és kiderült az első implantátum, amelyet a bűnözők használnak. A SparrowDoor nevű fenyegetést a szállodaipar elleni támadások során alkalmazzák. A SparrowDoor Backdoor néhány példánya azonban a mérnöki cégekhez, ügyvédi irodákhoz és kormányzati szervekhez tartozó hálózatokon is látható volt. A FamousSparrow APT által megcélzott országok listája meglehetősen hosszú - Kanada, Izrael, Franciaország, Tajvan, Litvánia, Brazília és még sokan mások.
A magas rangú fenyegetésszereplők gyakran az adathalász üzenetekre támaszkodnak, hogy behatoljanak a hálózat biztonságába, és kihasználják az alkalmazottakat. Úgy tűnik azonban, hogy a SparrowDoor gyakran fertőzi meg a rendszereket a sebezhető webes alkalmazások kihasználásával. Röviden ez azt jelenti, hogy a bűnözők jellemzően elavult szoftvert futtató rendszereket keresnek, amelyek bizonyos sebezhetőségekkel rendelkeznek.
A SparrowDoor Backdoor a kémkedésre összpontosít
Miután elindult, a hátsó ajtó új szolgáltatást állít be, és a Windows rendszerleíró adatbázisát is használja a kitartás érdekében. Fájljait általában a % APPDATA % mappában tárolják, hamis nevek használatával. A hátsó ajtó vezérléséhez a támadóknak felhasználónévvel és jelszóval kell hitelesíteniük. A bűnözők a SparrowDoor segítségével a következő feladatokat hajthatják végre:
- Módosítsa a fájlrendszert.
- A futó folyamatok kezelése.
- Lopjon bizonyos fájlokat.
- Keressen konkrét fájlokat, és vigye át őket a vezérlőszerverre.
- Végezzen távoli parancsokat.
- Távolítsa el az implantátumot.
A hackerek elsősorban a SharePoint, a Microsoft Exchange Server és az Oracle Opera biztonsági réseinek kihasználására támaszkodnak. Azonban nincs korlátozva az általuk megcélzott internetes alkalmazások száma. A webes rendszergazdáknak meg kell tenniük a szükséges intézkedéseket az összes szoftver frissítéséhez, hogy megakadályozzák a SparrowDoor és hasonló fenyegetések behatolását a biztonságukba.