SparrowDoor Backdoor, un Trojan personalizzato da FamousSparrow APT

Il gruppo FamousSparrow Advanced Persistent Threat (APT) è un nome abbastanza nuovo nel campo del crimine informatico. Di recente, le loro attività e campagne sono state osservate da vicino dai ricercatori di malware e il primo impianto utilizzato dai criminali è stato scoperto. La minaccia, chiamata SparrowDoor, viene impiegata negli attacchi contro l'industria alberghiera. Tuttavia, alcune copie di SparrowDoor Backdoor sono state viste anche su reti appartenenti a società di ingegneria, studi legali ed enti governativi. L'elenco dei paesi a cui si rivolge l'APT FamousSparrow è piuttosto lungo: Canada, Israele, Francia, Taiwan, Lituania, Brasile e molti altri.

Spesso, gli attori delle minacce di alto profilo si affidano ai messaggi di phishing per penetrare nella sicurezza di una rete sfruttando i dipendenti. Tuttavia, SparrowDoor sembra infettare spesso i sistemi sfruttando applicazioni vulnerabili connesse al Web. In breve, ciò significa che i criminali sono in genere alla ricerca di sistemi che eseguono software obsoleto, che presenta determinate vulnerabilità.

SparrowDoor Backdoor si concentra sulle operazioni di spionaggio

Una volta installato e funzionante, la backdoor configura un nuovo servizio e utilizza anche il registro di Windows per ottenere persistenza. I suoi file sono in genere archiviati nella cartella %APPDATA%, utilizzando nomi falsi. Per controllare la backdoor, gli aggressori devono autenticarsi utilizzando un nome utente e una password. I criminali sono in grado di utilizzare SparrowDoor per eseguire i seguenti compiti:

• Modificare il file system.
• Gestire i processi in esecuzione.
• Ruba file specifici.
• Cerca file specifici e trasferiscili al server di controllo.
• Eseguire comandi remoti.
• Rimuovere l'impianto.

Gli hacker si affidano principalmente allo sfruttamento delle vulnerabilità in SharePoint, Microsoft Exchange Server e Oracle Opera. Tuttavia, non c'è limite al numero di applicazioni con connessione a Internet che prendono di mira. Gli amministratori Web dovrebbero adottare le misure necessarie per aggiornare tutto il software al fine di impedire che SparrowDoor e minacce simili penetrino nella loro sicurezza.