SparrowDoor Backdoor、FamousSparrowAPTによるカスタムトロイの木馬
FamousSparrow Advanced Persistent Threat(APT)グループは、サイバー犯罪分野のかなり新しい名前です。最近、彼らの活動とキャンペーンがマルウェア研究者によって綿密に観察され、犯罪者が使用する最初のインプラントが発見されました。 SparrowDoorと呼ばれるこの脅威は、ホテル業界に対する攻撃に使用されています。ただし、SparrowDoor Backdoorの一部のコピーは、エンジニアリング会社、法律事務所、および政府機関に属するネットワークでも見られました。 FamousSparrow APTが対象とする国のリストはかなり長く、カナダ、イスラエル、フランス、台湾、リトアニア、ブラジル、その他多数の国があります。
多くの場合、注目を集める脅威アクターは、フィッシングメッセージに依存して、ネットワークのセキュリティに侵入し、従業員を悪用します。ただし、SparrowDoorは、脆弱なWeb接続アプリケーションを悪用してシステムに感染することがよくあります。つまり、犯罪者は通常、特定の脆弱性を持つ古いソフトウェアを実行しているシステムを探しています。
SparrowDoorバックドアはスパイ活動に焦点を当てています
起動して実行されると、バックドアは新しいサービスをセットアップし、Windowsレジストリを使用して永続性を取得します。そのファイルは通常、偽の名前を使用して%APPDATA%フォルダーに保存されます。バックドアを制御するために、攻撃者はユーザー名とパスワードを使用して認証する必要があります。犯罪者はSparrowDoorを使用して次のタスクを実行できます。
- ファイルシステムを変更します。
- 実行中のプロセスを管理します。
- 特定のファイルを盗みます。
- 特定のファイルを検索し、それらを制御サーバーに転送します。
- リモートコマンドを実行します。
- インプラントを取り外します。
ハッカーは主に、SharePoint、Microsoft Exchange Server、およびOracleOperaの脆弱性の悪用に依存しています。ただし、対象とするインターネット向けアプリケーションの数に制限はありません。 Web管理者は、SparrowDoorや同様の脅威がセキュリティに侵入するのを防ぐために、すべてのソフトウェアを更新するために必要な対策を講じる必要があります。