L’attore della minaccia cinese noto come FamosoParrow è stato collegato a un attacco informatico mirato a un gruppo commerciale negli Stati Uniti e a un istituto di ricerca in Messico per consegnare il suo backdoor Sparrowdoor e Shadowpad.
L’attività, osservata nel luglio 2024, segna la prima volta che l’equipaggio di hacking si è schierata Shadowpadun malware ampiamente condiviso dagli attori cinesi sponsorizzati dallo stato.
“FamilySparrow ha schierato due versioni precedentemente prive di documentazione del backdoor Sparrowdoor, una delle quali modulare”, ESET disse In un rapporto condiviso con le notizie di Hacker. “Entrambe le versioni costituiscono notevoli progressi rispetto a quelli precedenti e implementano la parallelizzazione dei comandi”.
Familysparrow period Primo documentato dalla Slovak Cybersecurity Firm nel settembre 2021 in relazione a una serie di attacchi informatici rivolti a resort, governi, società di ingegneria e studi legali con Sparrowdoor, un impianto esclusivamente utilizzato dal gruppo.
Da allora, ci sono stati segnalazioni Delle sovrapposizioni tattiche del collettivo avversario con i cluster rintracciati come Earth Estries, Ghostemperor e, in particolare, il tifone salato, che è stato attribuito a intrusioni rivolte al settore delle telecomunicazioni.
Tuttavia, ESET ha osservato che sta trattando FamousParrow come un gruppo di minacce distinte con alcuni collegamenti sciolti a Earth estries derivante da parallelismi con crowdanor ed emigate.
La catena di attacco prevede che l’attore di minaccia distribuisce una shell Net su un server di servizi di informazione Web (IIS), sebbene il meccanismo preciso utilizzato per raggiungere questo obiettivo non è ancora noto. Si cube che entrambe le vittime abbiano eseguito versioni out of date di Home windows Server e Microsoft Trade Server.
La shell Net funge da condotto per far cadere uno script batch da un server remoto, che, a sua volta, lancia una shell .internet Net codificata Base64 incorporata al suo interno. Questa shell Net alla tremendous è responsabile della distribuzione di Sparrowdoor e Shadowpad.
ESET ha affermato che una delle versioni di Sparrowdoor ricorda la Crowdan, sebbene entrambe le varianti presentano miglioramenti significativi rispetto al loro predecessore. Ciò embody la possibilità di eseguire contemporaneamente comandi che richiedono tempo, come l’I/O del file e la shell interattiva, consentendo così alla backdoor di elaborare le istruzioni in arrivo mentre vengono eseguite.
“Quando il backdoor riceve uno di questi comandi, crea un thread che avvia una nuova connessione al server C&C”, ha detto il ricercatore della sicurezza Alexandre Côté Cyr. “L’ID vittima univoco viene quindi inviato tramite la nuova connessione insieme a un ID di comando che indica il comando che ha portato a questa nuova connessione.”
“Ciò consente al server C&C di tenere traccia di quali connessioni sono correlate alla stessa vittima e quali sono i loro scopi. Ognuno di questi thread può quindi gestire un set specifico di sottocampi.”
Sparrowdoor sfoggia una vasta gamma di comandi che gli consentono di avviare un proxy, lanciare sessioni di shell interattive, eseguire operazioni di file, elencare il file system, raccogliere informazioni host e persino disinstallare.
Al contrario, la seconda versione del backdoor è modulare e marcatamente diversa dagli altri artefatti, adottando un approccio basato su plug-in per realizzare i suoi obiettivi. Supporta fino a nove moduli diversi –
- CMD – Esegui un singolo comando
- CFILE – Eseguire le operazioni del file system
- Ckeylogplug – tasti di registro
- CSocket – Avvia un proxy TCP
- CShell – Avvia una sessione di shell interattiva
- CTransf – Avvia il trasferimento di file tra l’host di Home windows compromesso e il server C&C
- CRDP – Prendi screenshot
- CPRO – Elenca i processi e uccidi quelli specifici
- Cfilemoniter – Monitora le modifiche al file system per le listing specificate
“Questa attività appena trovata indica che non solo il gruppo è ancora operativo, ma stava anche sviluppando attivamente nuove versioni di Sparrowdoor durante questo periodo”, ha detto ESET.
