SparrowDoor Backdoor, en tilpasset trojansk av FamousSparrow APT

FamousSparrow Advanced Persistent Threat (APT) -gruppen er et ganske nytt navn på nettkriminalitet. Nylig har deres aktiviteter og kampanjer blitt observert nøye av skadelig programvare -forskere, og det første implantatet som kriminelle bruker har blitt avdekket. Trusselen, kalt SparrowDoor, er ansatt i angrep mot hotellbransjen. Noen eksemplarer av SparrowDoor Backdoor ble imidlertid også sett på nettverk som tilhører ingeniørfirmaer, advokatfirmaer og offentlige organer. Listen over land som FamousSparrow APT retter seg mot er ganske lang - Canada, Israel, Frankrike, Taiwan, Litauen, Brasil og mange andre.

Ofte er profilerte trusselaktører avhengige av phishing-meldinger for å trenge inn i et nettverks sikkerhet for å utnytte ansatte. Imidlertid ser det ut til at SparrowDoor ofte infiserer systemer gjennom å utnytte sårbare webtilkoblede applikasjoner. Kort sagt betyr dette at de kriminelle vanligvis leter etter systemer som kjører utdatert programvare, som har visse sårbarheter.

SparrowDoor Backdoor fokuserer på spionasjedrift

Når den er i gang, setter bakdøren opp en ny tjeneste og bruker også Windows -registret for å få utholdenhet. Filene er vanligvis lagret i % APPDATA % -mappen, ved hjelp av falske navn. For å kontrollere bakdøren må angriperne autentisere seg med et brukernavn og passord. Kriminelle er i stand til å bruke SparrowDoor til å utføre følgende oppgaver:

• Endre filsystemet.
• Administrer kjørende prosesser.
• Stjel bestemte filer.
• Søk etter bestemte filer og overfør dem til kontrollserveren.
• Utfør fjernkommandoer.
• Fjern implantatet.

Hackerne er først og fremst avhengige av å utnytte sårbarheter i SharePoint, Microsoft Exchange Server og Oracle Opera. Imidlertid er det ingen grense for antall internettvendte applikasjoner de målretter mot. Nettadministratorer bør ta de nødvendige tiltakene for å oppdatere all programvare for å forhindre at SparrowDoor og lignende trusler trenger inn i deres sikkerhet.