Китайская группа FamousSparrow продолжает демонстрировать усовершенствованные методы кибератак, в последнее время зафиксировано появление новых вариантов их флагманской «задней двери» SparrowDoor, сопровождаемых использованием ShadowPad.
Атаки на торговую ассоциацию в США и научно-исследовательский институт в Мексике подтверждают, что злоумышленники стремятся эксплуатировать устаревшие версии Windows Server и Microsoft Exchange Server, что позволяет им получить доступ через веб-оболочку на сервере IIS.
Первая зафиксированная активность FamousSparrow датируется сентябрем 2021 года, когда словацкая компания в сфере кибербезопасности обнаружила серию атак на гостиницы, государственные структуры, инженерные компании и юридические фирмы. В настоящее время, в июле 2024 года, наблюдаются новые кампании с использованием обновлённого ПО.
Новые версии SparrowDoor включают две ранее неизвестные модификации, одна из которых получила модульную архитектуру. Среди технических усовершенствований отмечается возможность параллельного выполнения команд, что позволяет одновременно запускать ресурсоёмкие операции, такие как файловый ввод-вывод и интерактивные сеансы оболочки, а также обработка входящих инструкций параллельно с выполнением текущих команд. Одна из версий имеет схожесть с Crowdoor, однако обе новые модификации значительно превосходят своих предшественников по функциональности.
Начальный этап заражения происходит посредством установки веб-оболочки на сервере Internet Information Services. Механизм доставки включает последовательное скачивание сценария-оболочки с удалённого сервера, который запускает командный скрипт в формате Base64, содержащий оболочку для дальнейшей установки SparrowDoor и ShadowPad.
Механизм выполнения команд предполагает создание отдельного потока при получении инструкции, через который происходит установление нового соединения с сервером управления (C&C). При этом уникальный идентификатор жертвы и идентификатор команды передаются вместе, что позволяет отслеживать связь между уведомлениями о выполнении и конкретным объектом атаки, а также одновременно обрабатывать несколько подкоманд.
SparrowDoor предоставляет широкие возможности управления скомпрометированным узлом, включая запуск прокси-сервиса, интерактивные оболочки, операции с файлами, обзор структуры файловой системы, сбор информации о хосте и даже процедуру самодеинсталляции. Модульная версия поддерживает до девяти плагинов, среди которых: Cmd для выполнения одиночных команд, CFile для операций с файловой системой, CKeylogPlug для записи нажатий клавиш, CSocket для организации TCP-прокси, CShell для интерактивных сессий, CTransf для передачи файлов между заражённым узлом и сервером, CRdp для создания скриншотов, CPro для управления запущенными процессами и CFileMoniter для контроля изменений в файловых системах.
Тактика FamousSparrow демонстрирует пересечения с группировками Earth Estries, GhostEmperor и Salt Typhoon, особенно в случае атак на телекоммуникационный сектор. Несмотря на эти параллели, специалисты ESET подчёркивают, что FamousSparrow представляет собой самостоятельную угрозу, а обнаруженные loose-связи с Earth Estries происходят через общие элементы в методиках, такие как сходство с Crowdoor и HemiGate.
Эксперт по безопасности Alexandre Côté Cyr отмечает, что новые методы коммуникации «задней двери» показывают высокую степень автоматизации и гибкости в управлении заражёнными системами, что подтверждается последним отчетом ESET, опубликованным совместно с The Hacker News.
Изображение носит иллюстративный характер
Атаки на торговую ассоциацию в США и научно-исследовательский институт в Мексике подтверждают, что злоумышленники стремятся эксплуатировать устаревшие версии Windows Server и Microsoft Exchange Server, что позволяет им получить доступ через веб-оболочку на сервере IIS.
Первая зафиксированная активность FamousSparrow датируется сентябрем 2021 года, когда словацкая компания в сфере кибербезопасности обнаружила серию атак на гостиницы, государственные структуры, инженерные компании и юридические фирмы. В настоящее время, в июле 2024 года, наблюдаются новые кампании с использованием обновлённого ПО.
Новые версии SparrowDoor включают две ранее неизвестные модификации, одна из которых получила модульную архитектуру. Среди технических усовершенствований отмечается возможность параллельного выполнения команд, что позволяет одновременно запускать ресурсоёмкие операции, такие как файловый ввод-вывод и интерактивные сеансы оболочки, а также обработка входящих инструкций параллельно с выполнением текущих команд. Одна из версий имеет схожесть с Crowdoor, однако обе новые модификации значительно превосходят своих предшественников по функциональности.
Начальный этап заражения происходит посредством установки веб-оболочки на сервере Internet Information Services. Механизм доставки включает последовательное скачивание сценария-оболочки с удалённого сервера, который запускает командный скрипт в формате Base64, содержащий оболочку для дальнейшей установки SparrowDoor и ShadowPad.
Механизм выполнения команд предполагает создание отдельного потока при получении инструкции, через который происходит установление нового соединения с сервером управления (C&C). При этом уникальный идентификатор жертвы и идентификатор команды передаются вместе, что позволяет отслеживать связь между уведомлениями о выполнении и конкретным объектом атаки, а также одновременно обрабатывать несколько подкоманд.
SparrowDoor предоставляет широкие возможности управления скомпрометированным узлом, включая запуск прокси-сервиса, интерактивные оболочки, операции с файлами, обзор структуры файловой системы, сбор информации о хосте и даже процедуру самодеинсталляции. Модульная версия поддерживает до девяти плагинов, среди которых: Cmd для выполнения одиночных команд, CFile для операций с файловой системой, CKeylogPlug для записи нажатий клавиш, CSocket для организации TCP-прокси, CShell для интерактивных сессий, CTransf для передачи файлов между заражённым узлом и сервером, CRdp для создания скриншотов, CPro для управления запущенными процессами и CFileMoniter для контроля изменений в файловых системах.
Тактика FamousSparrow демонстрирует пересечения с группировками Earth Estries, GhostEmperor и Salt Typhoon, особенно в случае атак на телекоммуникационный сектор. Несмотря на эти параллели, специалисты ESET подчёркивают, что FamousSparrow представляет собой самостоятельную угрозу, а обнаруженные loose-связи с Earth Estries происходят через общие элементы в методиках, такие как сходство с Crowdoor и HemiGate.
Эксперт по безопасности Alexandre Côté Cyr отмечает, что новые методы коммуникации «задней двери» показывают высокую степень автоматизации и гибкости в управлении заражёнными системами, что подтверждается последним отчетом ESET, опубликованным совместно с The Hacker News.
