SparrowDoor Backdoor, niestandardowy trojan stworzony przez APT FamousSparrow
Grupa FamousSparrow Advanced Persistent Threat (APT) to dość nowa nazwa w dziedzinie cyberprzestępczości. Ostatnio ich działania i kampanie były bacznie obserwowane przez badaczy szkodliwego oprogramowania i odkryto pierwszy implant, z którego korzystają przestępcy. Zagrożenie o nazwie SparrowDoor jest wykorzystywane w atakach na branżę hotelarską. Jednak niektóre kopie SparrowDoor Backdoor były również widoczne w sieciach należących do firm inżynieryjnych, kancelarii prawnych i organów rządowych. Lista krajów, do których cel APT FamousSparrow jest dość długa – Kanada, Izrael, Francja, Tajwan, Litwa, Brazylia i wiele innych.
Często głośne cyberprzestępcy polegają na wiadomościach phishingowych, aby przeniknąć zabezpieczenia sieci i wykorzystać pracowników. Jednak wydaje się, że SparrowDoor często infekuje systemy poprzez wykorzystywanie podatnych na ataki aplikacji podłączonych do sieci. W skrócie oznacza to, że przestępcy zazwyczaj szukają systemów z przestarzałym oprogramowaniem, które ma pewne luki.
Backdoor SparrowDoor koncentruje się na operacjach szpiegowskich
Po uruchomieniu backdoor konfiguruje nową usługę, a także używa rejestru systemu Windows, aby uzyskać trwałość. Jego pliki są zwykle przechowywane w folderze %APPDATA% pod fałszywymi nazwami. Aby kontrolować backdoora, atakujący muszą uwierzytelnić się przy użyciu nazwy użytkownika i hasła. Przestępcy mogą używać SparrowDoor do wykonywania następujących zadań:
- Zmodyfikuj system plików.
- Zarządzaj uruchomionymi procesami.
- Kradnij określone pliki.
- Wyszukaj określone pliki i przenieś je na serwer kontrolny.
- Wykonaj zdalne polecenia.
- Usuń implant.
Hakerzy polegają przede wszystkim na wykorzystaniu luk w zabezpieczeniach SharePoint, Microsoft Exchange Server i Oracle Opera. Jednak nie ma ograniczeń co do liczby aplikacji internetowych, na które są kierowane. Administratorzy sieci powinni przedsięwziąć wymagane środki w celu zaktualizowania całego oprogramowania, aby zapobiec przedostawaniu się SparrowDoor i podobnych zagrożeń do ich bezpieczeństwa.