SparrowDoor Backdoor: kibernetinė grėsmė su pažangiomis galimybėmis

Kibernetinio saugumo tyrėjai atskleidė atnaujintą kibernetinio šnipinėjimo kampaniją, kurią organizavo programišių grupė „FamousSparrow“, kuri buvo siejama su neseniai įvykdyta ataka, nukreipta prieš JAV prekybos organizaciją ir Meksikos tyrimų institutą. Šios operacijos esmė yra SparrowDoor backdoor – pažangus įrankis, skirtas įsiskverbti į tikslines sistemas ir išlikti jose, palengvinantis slaptą duomenų vagystę ir neteisėtą prieigą.
Table of Contents
Kas yra SparrowDoor Backdoor?
SparrowDoor yra užpakalinių durų implantas, pirmą kartą identifikuotas 2021 m. , kuris buvo išskirtinai susijęs su FamousSparrow grupe. Šis įrankis leidžia užpuolikams vykdyti komandas, manipuliuoti failais, rinkti žvalgybos informaciją ir netgi pašalinti save, kai reikia, kad būtų išvengta aptikimo. Neseniai buvo nustatytos dvi naujos „SparrowDoor“ versijos, demonstruojančios reikšmingus efektyvumo ir moduliškumo patobulinimus.
Viena iš šių versijų buvo sukurta moduliniu būdu, integruojant įskiepių architektūrą, kuri praplečia jos funkcionalumą. Šie moduliai leidžia užpuolikams registruoti klavišų paspaudimus, vykdyti nuotolines komandas, paleisti tarpinio serverio paslaugas, užfiksuoti ekrano kopijas ir stebėti failų sistemos pakeitimus. Ši konstrukcija leidžia operatoriams tiksliai valdyti pažeistas sistemas ir padidina galinių durų universalumą.
Kaip veikia „SparrowDoor“?
Ataka prasideda interneto informacijos tarnybų (IIS) serveryje įdiegus žiniatinklio apvalkalą, kuris veikia kaip kenkėjiškų naudingų krovinių perdavimo vartai. Tikslus pradinės prieigos gavimo būdas lieka neaiškus. Vis dėlto manoma, kad pasenusi programinė įranga, pvz., senesnės „Windows Server“ ir „Microsoft Exchange Server“ versijos, turėjo įtakos pažeidimui.
Patekę į vidų, užpuolikai vykdo paketinį scenarijų, kuris diegia įterptąjį .NET pagrindu sukurtą žiniatinklio apvalkalą. Tada šis antrinis žiniatinklio apvalkalas įdiegia „SparrowDoor“, įtvirtindamas nuolatinę atramą pažeistame tinkle. Vienas iš pagrindinių užpakalinių durų patobulinimų yra galimybė vykdyti ilgai veikiančias komandas, netrikdant ryšio su komandų ir valdymo (C&C) serveriu. Tai reiškia, kad užpakalinės durys gali apdoroti naujas instrukcijas, tuo pat metu atlikdamos daug laiko reikalaujančias operacijas, tokias kaip failų perkėlimas ar apvalkalo sąveika.
Kokios jo galimybės?
„SparrowDoor“ siūlo platų komandų rinkinį, leidžiantį užpuolikams:
- Paleiskite interaktyvius apvalkalo seansus, kad galėtumėte valdyti realiuoju laiku.
- Perkelkite failus iš nukentėjusio įrenginio į C&C serverį ir atvirkščiai.
- Registruokite klavišų paspaudimus, kad užfiksuotumėte neskelbtiną informaciją.
- Nustatykite TCP tarpinį serverį, kad nukreiptumėte kenkėjišką srautą.
- Stebėkite pakeitimus nurodytuose kataloguose.
- Užfiksuokite ekrano kopijas, kad galėtumėte vizualiai stebėti vartotojo veiklą.
- Suskaičiuokite ir nutraukite vykdomus procesus.
Dėl šių savybių „SparrowDoor“ yra veiksminga priemonė ilgalaikiam kibernetiniam šnipinėjimui, duomenų išfiltravimui ir nuolatiniam įsiskverbimui į tinklą.
Nuoroda į kitas kibernetines grėsmes
Nors „FamousSparrow“ buvo siejamas su kitomis žinomomis grėsmių grupėmis, įskaitant „Earth Estries“, „GhostEmperor“ ir „Salt Typhoon“, kibernetinio saugumo analitikai ir toliau ją traktuoja kaip atskirą subjektą. Taip yra dėl unikalių atakų metodų ir išskirtinio „SparrowDoor“ naudojimo.
Naujausia grupės kampanija taip pat žymi pirmą dokumentais pagrįstą atvejį, kai ji įdiegė „ShadowPad“ – kitą labai sudėtingą kenkėjišką programą, anksčiau sietą su Kinijos valstybės remiamais veikėjais. Tai rodo, kad „FamousSparrow“ gali dalytis įrankiais arba suderinti savo veiklą su kitomis išplėstinėmis nuolatinėmis grėsmėmis (APT), o tai dar labiau apsunkina priskyrimo pastangas.
Išpuolio pasekmės
Patobulintų SparrowDoor galinių durų atsiradimas turi rimtų pasekmių pasauliniam kibernetiniam saugumui. Organizacijos, kuriose naudojamos pasenusios arba nepataisytos sistemos, yra ypač pažeidžiamos šios grėsmės, nes atakos metodai priklauso nuo žinomų įmonės infrastruktūros trūkumų išnaudojimo.
„SparrowDoor“ gebėjimas išlaikyti atkaklumą ir atlikti lygiagrečias užduotis daro jį puikiu kibernetinio šnipinėjimo įrankiu. Tai kelia susirūpinimą dėl intelektinės nuosavybės vagysčių ir stebėjimo galimybių bei platesnio pavojaus, kylančio svarbiausioms pramonės šakoms. Mokslinių tyrimų institutai, vyriausybinės agentūros ir privataus sektoriaus organizacijos, tvarkančios neskelbtinus duomenis, turi išlikti budrios dėl tokių grėsmių.
Gynybinės priemonės
Siekdamos sumažinti „SparrowDoor“ ir panašių kibernetinių grėsmių keliamą riziką, organizacijos turėtų imtis aktyvių veiksmų, įskaitant:
- Reguliarus pataisymas: užtikrinti, kad visa programinė įranga, ypač Windows Server ir Microsoft Exchange, būtų atnaujinta į naujausias saugos versijas.
- Tinklo stebėjimas: pažangių grėsmių aptikimo sistemų diegimas, siekiant nustatyti neįprastus srauto modelius ir neteisėtos prieigos bandymus.
- Endpoint Security: stiprių galinių taškų apsaugos sprendimų, galinčių aptikti ir neutralizuoti pažangias kenkėjiškas programas, diegimas.
- Prieigos kontrolė: administratoriaus privilegijų ribojimas, siekiant sumažinti atakos paviršių.
- Reagavimo į incidentus planavimas: nenumatytų atvejų planų rengimas, kad būtų galima greitai reaguoti į kibernetinius incidentus ir sumažinti galimą žalą.
Paskutinės mintys
Naujausių „SparrowDoor“ variantų atradimas rodo, kad „FamousSparrow“ tebėra aktyvi ir besivystanti kibernetinė grėsmė. Dėl savo sudėtingų galimybių, modulinės architektūros ir galimų sąsajų su kitomis APT grupėmis užpakalinės durys kelia didelį pavojų organizacijoms visame pasaulyje. Kadangi kibernetinės grėsmės nenustoja vystytis, įmonės ir institucijos turi imtis griežtų kibernetinio saugumo priemonių, kad apsigintų nuo tokių nuolatinių ir prisitaikančių priešininkų.