SparrowDoor 后门,FamousSparrow APT 的自定义木马
FamousSparrow Advanced Persistent Threat (APT) 组对于网络犯罪领域来说是一个相当新的名称。最近,恶意软件研究人员密切观察了他们的活动和活动,并且发现了犯罪分子使用的第一个植入物。这种名为 SparrowDoor 的威胁被用于针对酒店业的攻击。但是,在属于工程公司、律师事务所和政府机构的网络上也可以看到 SparrowDoor 后门的一些副本。 FamousSparrow APT 的目标国家名单相当长——加拿大、以色列、法国、台湾、立陶宛、巴西等等。
通常,备受瞩目的威胁行为者依靠网络钓鱼消息来渗透网络安全并利用员工。然而,SparrowDoor 似乎经常通过利用易受攻击的 Web 连接应用程序来感染系统。简而言之,这意味着犯罪分子通常正在寻找运行过时软件的系统,这些软件具有某些漏洞。
SparrowDoor 后门专注于间谍活动
一旦它启动并运行,后门就会设置一个新服务,并使用 Windows 注册表来获得持久性。它的文件通常使用假名存储在 %APPDATA% 文件夹中。为了控制后门,攻击者必须使用用户名和密码进行身份验证。犯罪分子可以使用 SparrowDoor 执行以下任务:
- 修改文件系统。
- 管理正在运行的进程。
- 窃取特定文件。
- 搜索特定文件并将它们传输到控制服务器。
- 执行远程命令。
- 取出植入物。
黑客主要依靠利用 SharePoint、Microsoft Exchange Server 和 Oracle Opera 中的漏洞。但是,他们针对的面向 Internet 的应用程序的数量没有限制。 Web 管理员应采取必要措施更新所有软件,以防止 SparrowDoor 和类似威胁渗透其安全。