SparrowDoor Backdoor, en anpassad trojan från FamousSparrow APT

Gruppen FamousSparrow Advanced Persistent Threat (APT) är ett ganska nytt namn på cyberbrottsfältet. Nyligen har deras aktiviteter och kampanjer observerats noga av skadliga forskare, och det första implantatet som de kriminella använder har avslöjats. Hotet, kallat SparrowDoor, används i attacker mot hotellbranschen. Vissa kopior av SparrowDoor Backdoor sågs dock också på nätverk som tillhör verkstadsföretag, advokatbyråer och statliga organ. Listan över länder som FamousSparrow APT riktar sig mot är ganska lång - Kanada, Israel, Frankrike, Taiwan, Litauen, Brasilien och många andra.

Högprofilerade hotaktörer förlitar sig ofta på nätfiske-meddelanden för att tränga in i ett nätverks säkerhet för att utnyttja anställda. SparrowDoor verkar dock ofta infektera system genom att utnyttja sårbara webbanslutna applikationer. Kort sagt betyder det att de kriminella vanligtvis letar efter system som kör föråldrad programvara, som har vissa sårbarheter.

SparrowDoor Backdoor fokuserar på spionage

När den väl är igång, skapar bakdörren en ny tjänst och använder också Windows -registret för att få uthållighet. Dess filer lagras vanligtvis i mappen % APPDATA %, med falska namn. För att styra bakdörren måste angripare autentisera med ett användarnamn och lösenord. Kriminella kan använda SparrowDoor för att utföra följande uppgifter:

• Ändra filsystemet.
• Hantera löpande processer.
• Stjäla specifika filer.
• Sök efter specifika filer och överför dem till kontrollservern.
• Utför fjärrkommandon.
• Ta bort implantatet.

Hackarna förlitar sig främst på att utnyttja sårbarheter i SharePoint, Microsoft Exchange Server och Oracle Opera. Det finns dock ingen gräns för antalet Internet-vända applikationer de riktar sig till. Webbadministratörer bör vidta nödvändiga åtgärder för att uppdatera all programvara för att förhindra att SparrowDoor och liknande hot tränger in i deras säkerhet.