SparrowDoor バックドア: 高度な機能を備えたサイバー脅威

サイバーセキュリティ研究者らは、ハッカー集団 FamousSparrow が組織した新たなサイバースパイ活動を発見した。この活動は、米国の貿易組織とメキシコの研究機関を標的とした最近の攻撃に関連している。この活動の中心にあるのは、標的のシステムに侵入して内部に留まり、秘密裏にデータ窃盗や不正アクセスを行うよう設計された高度なツール、SparrowDoor バックドアである。

SparrowDoor バックドアとは何ですか?

SparrowDoor は、 2021 年に初めて特定されたバックドア インプラントで、FamousSparrow グループにのみ関連付けられています。このツールにより、攻撃者はコマンドの実行、ファイルの操作、情報の収集、さらには検出を回避するために必要に応じて自身をアンインストールすることさえできます。最近、SparrowDoor の新しいバージョンが 2 つ特定され、効率性とモジュール性が大幅に強化されています。

これらのバージョンの 1 つはモジュール式に開発されており、機能を拡張するプラグインベースのアーキテクチャを統合しています。これらのモジュールにより、攻撃者はキーストロークを記録し、リモート コマンドを実行し、プロキシ サービスを起動し、スクリーンショットをキャプチャし、ファイル システムの変更を監視することができます。この設計により、オペレーターは侵害されたシステムを正確に制御できるようになり、バックドアの汎用性が向上します。

SparrowDoor はどのように動作しますか?

攻撃は、悪意のあるペイロードを配信するためのゲートウェイとして機能するインターネット インフォメーション サービス (IIS) サーバーに Web シェルを展開することから始まります。最初のアクセスを取得する正確な方法は不明です。ただし、古いバージョンの Windows Server や Microsoft Exchange Server などの古いソフトウェアが侵入を助長する役割を果たしたと考えられています。

侵入すると、攻撃者はバッチ スクリプトを実行して、埋め込まれた .NET ベースの Web シェルを展開します。次に、このセカンダリ Web シェルは SparrowDoor をインストールし、侵入されたネットワーク内に永続的な足場を築きます。バックドアの主な強化点の 1 つは、コマンド アンド コントロール (C&C) サーバーとの通信を中断せずに、長時間実行されるコマンドを実行できることです。つまり、バックドアは、ファイル転送やシェル操作などの時間のかかる操作を同時に実行しながら、新しい命令を処理できます。

その機能は何ですか?

SparrowDoor は、攻撃者が次のことを実行できるようにする広範なコマンド セットを提供します。

• リアルタイム制御のために対話型シェル セッションを起動します。
• 被害者のマシンと C&C サーバー間でファイルを転送します。
• キーストロークを記録して機密情報を取得します。
• 悪意のあるトラフィックをルーティングするための TCP プロキシを設定します。
• 指定されたディレクトリの変更を監視します。
• スクリーンショットをキャプチャして、ユーザーのアクティビティを視覚的に追跡します。
• 実行中のプロセスを列挙して終了します。

これらの機能により、SparrowDoor は長期的なサイバースパイ活動、データ流出、永続的なネットワーク侵入に効果的なツールになります。

他のサイバー脅威との関連

FamousSparrow は、Earth Estries、 GhostEmperor 、Salt Typhoon などの他の既知の脅威グループと関連付けられていますが、サイバーセキュリティアナリストは、これを独自の攻撃手法と SparrowDoor の独占使用により、引き続き別個の存在として扱っています。

このグループの最新の攻撃は、以前に中国政府支援の攻撃者と関連付けられてきた別の高度に洗練されたマルウェアである ShadowPad を展開した初めての記録例でもあります。これは、FamousSparrow が他の高度な持続的脅威 (APT) とツールを共有したり、活動を連携させている可能性を示唆しており、帰属の特定をさらに複雑にしています。

攻撃の影響

強化された SparrowDoor バックドアの出現は、世界のサイバーセキュリティに深刻な影響を及ぼします。攻撃方法は企業インフラストラクチャの既知の弱点を悪用することに依存しているため、古いシステムやパッチを適用していないシステムを実行している組織は、この脅威に対して特に脆弱です。

SparrowDoor は持続性を維持し、並行してタスクを実行する能力があるため、サイバースパイ活動の強力なツールとなります。このため、知的財産の盗難や監視の可能性、および重要な業界に及ぼされる広範なリスクについて懸念が生じています。機密データを扱う研究機関、政府機関、民間組織は、このような脅威に対して警戒を怠ってはなりません。

防御策

SparrowDoor や同様のサイバー脅威によってもたらされるリスクを軽減するために、組織は次のような予防措置を講じる必要があります。

• 定期的なパッチ適用:すべてのソフトウェア、特に Windows Server と Microsoft Exchange が最新のセキュリティ バージョンに更新されていることを確認します。
• ネットワーク監視:異常なトラフィック パターンや不正アクセスの試みを識別するために、高度な脅威検出システムを実装します。
• エンドポイント セキュリティ:高度なマルウェアを検出して無効化できる強力なエンドポイント保護ソリューションを導入します。
• アクセス制御:管理者権限を制限して攻撃対象領域を最小限に抑えます。
• インシデント対応計画:サイバーインシデントに迅速に対応し、潜在的な損害を最小限に抑えるための緊急時対応計画を準備します。

最後に

最新の SparrowDoor 亜種の発見は、FamousSparrow が依然として活発で進化を続けるサイバー脅威であることを示しています。高度な機能、モジュール型アーキテクチャ、および他の APT グループとの潜在的なつながりにより、このバックドアは世界中の組織に重大なリスクをもたらします。サイバー脅威は進化し続けるため、企業や機関はこのような執拗で適応力のある敵から身を守るために、強力なサイバーセキュリティ対策を採用する必要があります。