SparrowDoor Backdoor, um cavalo de Troia personalizado do FamousSparrow APT
O grupo FamousSparrow Advanced Persistent Threat (APT) é um nome relativamente novo para o campo do crime cibernético. Recentemente, suas atividades e campanhas foram observadas de perto por pesquisadores de malware, e o primeiro implante que os criminosos usam foi descoberto. A ameaça, chamada SparrowDoor, é usada em ataques contra a indústria hoteleira. No entanto, algumas cópias do SparrowDoor Backdoor também foram vistas em redes pertencentes a empresas de engenharia, escritórios de advocacia e órgãos governamentais. A lista de países que o FamousSparrow APT visa é bastante longa - Canadá, Israel, França, Taiwan, Lituânia, Brasil e muitos outros.
Freqüentemente, os agentes de ameaças de alto perfil contam com mensagens de phishing para invadir a segurança de uma rede explorando funcionários. No entanto, o SparrowDoor freqüentemente infecta sistemas por meio da exploração de aplicativos vulneráveis conectados à Web. Resumindo, isso significa que os criminosos geralmente procuram sistemas que executam softwares desatualizados, que apresentam certas vulnerabilidades.
SparrowDoor Backdoor se concentra em operações de espionagem
Assim que estiver instalado e funcionando, o backdoor configura um novo serviço e também usa o Registro do Windows para obter persistência. Seus arquivos são normalmente armazenados na pasta% APPDATA%, usando nomes falsos. Para controlar o backdoor, os invasores devem se autenticar usando um nome de usuário e uma senha. Os criminosos podem usar o SparrowDoor para executar as seguintes tarefas:
- Modifique o sistema de arquivos.
- Gerenciar processos em execução.
- Roube arquivos específicos.
- Procure por arquivos específicos e transfira-os para o servidor de controle.
- Execute comandos remotos.
- Remova o implante.
Os hackers contam principalmente com a exploração de vulnerabilidades no SharePoint, Microsoft Exchange Server e Oracle Opera. No entanto, não há limite para o número de aplicativos voltados para a Internet a que se destinam. Os administradores da Web devem tomar as medidas necessárias para atualizar todo o software, a fim de evitar que o SparrowDoor e ameaças semelhantes invadam sua segurança.