Μια ομάδα cyberespionage που συνδέεται με την Κίνα, γνωστή ως «FableSparrow», χρησιμοποιώντας μια νέα αρθρωτή εκδοχή της υπογραφής του «Sparrowdoor» εναντίον ενός εμπορικού οργανισμού που εδρεύει στις ΗΠΑ.
Η δραστηριότητα και η νέα έκδοση κακόβουλου λογισμικού παρατηρήθηκαν από ερευνητές ασφαλείας στο ESET, οι οποίοι διαπίστωσαν ότι ο ηθοποιός απειλής ήταν πιο ενεργός από ό, τι αρχικά θεωρούσε ότι οι τελευταίες του δραστηριότητες εκτέθηκαν το 2022.
Εκτός από τον οικονομικό οργανισμό, άλλες πρόσφατες επιθέσεις που αποκαλύφθηκαν και συνδέονται με το FableSparrow περιλαμβάνουν ένα Ινστιτούτο Έρευνας του Μεξικού και ένα κυβερνητικό ίδρυμα στην Ονδούρα.
Σε όλες αυτές τις περιπτώσεις, η αρχική πρόσβαση επιτεύχθηκε μέσω εκμετάλλευσης των ξεπερασμένων τελικών σημείων ανταλλαγής Microsoft και Windows Server, μολύνοντας τους με webshells.
.jpg)
Πηγή: eset
Νέο Modular Sparrowdoor
Η έρευνα του ESET αποκάλυψε πραγματικά δύο νέες εκδόσεις του Sparrowdoor Backdoor.
Το πρώτο είναι παρόμοιο με ένα backdoor trend micro που αποδίδεται στις «γη», που διαθέτει καλύτερη ποιότητα κώδικα, βελτιωμένη αρχιτεκτονική, κρυπτογραφημένη διαμόρφωση, μηχανισμούς επιμονής και μυστική μετατόπιση εντολών και ελέγχου (C2).
Ένα βασικό νέο χαρακτηριστικό που ισχύει και για τις δύο νέες εκδόσεις είναι η παράλληλη εκτέλεση εντολών, όπου το backdoor μπορεί να συνεχίσει να ακούει τις εισερχόμενες εντολές και να τις επεξεργαστεί ενώ εκτελεί προηγούμενες.
“Και οι δύο εκδόσεις του Sparrowdoor που χρησιμοποιούνται σε αυτή την εκστρατεία αποτελούν σημαντικές προόδους στην ποιότητα και την αρχιτεκτονική του κώδικα σε σύγκριση με τις παλαιότερες”. διαβάζει την αναφορά ESET.
“Η πιο σημαντική αλλαγή είναι ο παραλληλισμός των χρονοβόρων εντολών, όπως το αρχείο I/O και το διαδραστικό κέλυφος.
Η πιο πρόσφατη παραλλαγή αποτελεί τις σημαντικότερες ενημερώσεις, καθώς είναι ένα αρθρωτό backdoor που διαθέτει μια αρχιτεκτονική με βάση το plugin.
Μπορεί να λάβει νέα plugins από το C2 κατά το χρόνο εκτέλεσης, τα οποία φορτώνονται εξ ολοκλήρου στη μνήμη, επεκτείνοντας τις επιχειρησιακές δυνατότητές του, ενώ παραμένουν αποφυλακτικές και μυστικές.
Οι λειτουργίες που υποστηρίζουν αυτά τα plugins περιλαμβάνουν:
- Πρόσβαση σε κέλυφος
- Χειρισμός συστήματος αρχείων
- Ρευστός
- Πληροφορική
- Συλλογή οθόνης
- Μεταφορά αρχείων
- Λίστα διαδικασιών/δολοφονία
Η σύνδεση Shadowpad
Ένα άλλο ενδιαφέρον εύρημα στην έκθεση του ESET είναι η χρήση του Shadowpad του FableSparrow, ενός ευπροσάρμοστου αρθρωτή απομακρυσμένη πρόσβαση (αρουραίος) που σχετίζεται με αρκετές κινέζικες apts.
Στις επιθέσεις που παρατηρήθηκαν από τους ερευνητές, το Shadowpad φορτώθηκε μέσω του DLL Side-Loading χρησιμοποιώντας ένα μετονομασμένο Microsoft Office IME εκτελέσιμο, εγχύθηκε στη διαδικασία Windows Media Player (wmplayer.exe) και συνδέθηκε με έναν γνωστό διακομιστή C2 που σχετίζεται με τον αρουραίο.
Αυτό δείχνει ότι το FableSparrow μπορεί τώρα να έχει πρόσβαση σε κινεζικά εργαλεία στον κυβερνοχώρο υψηλού επιπέδου, όπως άλλοι κρατικοί φορείς.
Η ESET σημειώνει ότι οι ομάδες της Microsoft FableSparrow, Ghostemperor και Earth Resries κάτω από ένα σύμπλεγμα απειλών που ονομάζουν αλάτι τυφώνα.
Δεδομένης της έλλειψης τεχνικών στοιχείων που υποστηρίζουν αυτό, η ESET παρακολουθεί ως ξεχωριστές ομάδες. Ωστόσο, παραδέχεται ότι υπάρχουν ομοιότητες κώδικα στα εργαλεία τους, παρόμοιες τεχνικές εκμετάλλευσης και κάποια επαναχρησιμοποίηση υποδομών.
Η ESET εξηγεί αυτές τις επικαλύψεις ως σημάδια ενός κοινού προμηθευτή τρίτου μέρους, γνωστού και ως “ψηφιακός τριμηνιαίος”, που κρύβεται πίσω και υποστηρίζει όλες αυτές τις κινεζικές ομάδες απειλών.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
