SparrowDoor 後門,FamousSparrow APT 的自定義木馬
FamousSparrow Advanced Persistent Threat (APT) 組對於網絡犯罪領域來說是一個相當新的名稱。最近,惡意軟件研究人員密切觀察了他們的活動和活動,並且發現了犯罪分子使用的第一個植入物。這種名為 SparrowDoor 的威脅被用於針對酒店業的攻擊。但是,在屬於工程公司、律師事務所和政府機構的網絡上也可以看到 SparrowDoor 後門的一些副本。 FamousSparrow APT 的目標國家名單相當長——加拿大、以色列、法國、台灣、立陶宛、巴西等等。
通常,備受矚目的威脅行為者依靠網絡釣魚消息來滲透網絡安全並利用員工。然而,SparrowDoor 似乎經常通過利用易受攻擊的 Web 連接應用程序來感染系統。簡而言之,這意味著犯罪分子通常正在尋找運行過時軟件的系統,這些軟件具有某些漏洞。
SparrowDoor 後門專注於間諜活動
一旦它啟動並運行,後門就會設置一個新服務,並使用 Windows 註冊表來獲得持久性。它的文件通常使用假名存儲在 %APPDATA% 文件夾中。為了控制後門,攻擊者必須使用用戶名和密碼進行身份驗證。犯罪分子可以使用 SparrowDoor 執行以下任務:
- 修改文件系統。
- 管理正在運行的進程。
- 竊取特定文件。
- 搜索特定文件並將它們傳輸到控制服務器。
- 執行遠程命令。
- 取出植入物。
黑客主要依靠利用 SharePoint、Microsoft Exchange Server 和 Oracle Opera 中的漏洞。但是,他們針對的面向 Internet 的應用程序的數量沒有限制。 Web 管理員應採取必要措施更新所有軟件,以防止 SparrowDoor 和類似威脅滲透其安全。