SparrowDoor 後門：具有進階功能的網路威脅

網路安全研究人員發現了駭客組織 FamousSparrow 精心策劃的一次新網路間諜活動，該活動與最近針對美國貿易組織和墨西哥研究機構的攻擊有關。行動的核心是 SparrowDoor 後門，這是一種先進的工具，旨在滲透並駐留在目標系統中，幫助進行秘密資料竊取和未經授權的存取。

什麼是 SparrowDoor 後門？

SparrowDoor 是一種後門植入程序， 於 2021 年首次發現，與 FamousSparrow 組織有獨家關聯。該工具使攻擊者能夠執行命令、操縱文件、收集情報，甚至在必要時卸載自身以逃避偵測。最近，SparrowDoor 的兩個新版本已被發現，其效率和模組化程度有顯著提升。

其中一個版本採用模組化開發，整合了基於插件的架構以擴展其功能。這些模組允許攻擊者記錄擊鍵、執行遠端命令、啟動代理服務、捕獲螢幕截圖以及監視檔案系統變更。這種設計使操作員能夠精確控制受感染的系統，並提高了後門的多功能性。

SparrowDoor 如何運作？

攻擊首先在 Internet 資訊服務 (IIS) 伺服器上部署 Web Shell，該伺服器可作為傳遞惡意負載的閘道。獲得初始存取權限的具體方法仍不清楚。不過，人們認為過時的軟體（例如舊版的 Windows Server 和 Microsoft Exchange Server）在造成此次入侵方面發揮了一定作用。

一旦進入，攻擊者就會執行批次腳本，部署嵌入式的基於 .NET 的 Web shell。然後，這個輔助 Web shell 安裝 SparrowDoor，在受感染的網路中建立持久立足點。此後門的主要增強功能之一是它能夠執行長時間運行的命令而不會中斷與命令和控制 (C&C) 伺服器的通訊。這意味著後門可以處理新指令，同時執行耗時的操作，例如檔案傳輸或shell互動。

它的功能是什麼？

SparrowDoor 提供了一組廣泛的命令，允許攻擊者：

• 啟動互動式 shell 會話以進行即時控制。
• 在受害者機器和 C＆C 伺服器之間傳輸檔案。
• 記錄擊鍵以取得敏感資訊。
• 設定 TCP 代理來路由惡意流量。
• 監視指定目錄中的變更。
• 擷取螢幕截圖以直觀地追蹤用戶活動。
• 枚舉並終止正在運行的進程。

這些功能使 SparrowDoor 成為長期網路間諜、資料外洩和持續網路滲透的有效工具。

與其他網路威脅的聯繫

雖然 FamousSparrow 與其他已知威脅組織有聯繫，包括 Earth Estries、 GhostEmperor和 Salt Typhoon，但網路安全分析師仍將其視為一個獨立的實體。這是因為其獨特的攻擊方法和 SparrowDoor 的獨家使用。

該組織的最新活動也是首次有記錄地部署 ShadowPad 的例子，ShadowPad 是另一種高度複雜的惡意軟體，此前曾與中國國家支持的行為者有關。這表明 FamousSparrow 可能正在與其他高級持續性威脅 (APT) 共享工具或協調其行動，這進一步使歸因工作變得複雜。

襲擊的影響

增強型SparrowDoor後門的出現對全球網路安全產生了嚴重影響。運行過時或未修補的系統的組織特別容易受到這種威脅，因為攻擊方法依賴於利用企業基礎設施中已知的弱點。

SparrowDoor 保持持久性和執行並行任務的能力使其成為網路間諜活動的強大工具。這引發了人們對智慧財產權盜竊和監視的可能性以及對關鍵行業構成的更廣泛風險的擔憂。處理敏感資料的研究機構、政府機構和私營部門組織必須對此類威脅保持警惕。

防禦措施

為了減輕 SparrowDoor 和類似網路威脅帶來的風險，組織應採取主動措施，包括：

• 定期修補：確保所有軟體（尤其是 Windows Server 和 Microsoft Exchange）都更新到最新的安全性版本。
• 網路監控：實施先進的威脅偵測系統來識別異常的流量模式和未經授權的存取嘗試。
• 端點安全性：部署強大的端點防護解決方案，可偵測並消除進階惡意軟體。
• 存取控制：限制管理權限以最大限度地減少攻擊面。
• 事件應變計劃：制定應急計劃，迅速應對網路事件並最大限度地減少潛在損害。

最後的想法

最新 SparrowDoor 變種的發現表明 FamousSparrow 仍然是一個活躍且不斷演變的網路威脅。由於其複雜的功能、模組化架構以及與其他 APT 組織的潛在聯繫，該後門對全球組織構成了重大風險。由於網路威脅不斷演變，企業和機構必須採取強有力的網路安全措施來防禦這種持久且適應性強的對手。