《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > APT團伙FamousSparrow開始監(jiān)視酒店和政府部門

APT團伙FamousSparrow開始監(jiān)視酒店和政府部門

2021-09-28
來源:嘶吼專業(yè)版
關鍵詞: APT 酒店 政府

  一個被研究人員稱為“FamousSparrow”的網絡間諜組織利用自定義后門(被稱為“SparrowDoor”)攻擊了世界各地的酒店,、政府和私人組織,。據(jù)ESET稱,,這是今年早些時候針對ProxyLogon漏洞的高級持續(xù)威脅(APT)之一,,盡管其活動直到最近才被曝光,。

  據(jù)該公司稱,,后門的惡意行為包括:重命名或刪除文件,;創(chuàng)建目錄,;關閉進程,;發(fā)送文件屬性、文件大小、文件寫入時間等信息,;提取指定文件的內容,;將數(shù)據(jù)寫入指定文件;或者建立一個交互式的反向shell,。還有一個終止開關,,用于從受害機器中刪除持久性設置和所有SparrowDoor文件。

  研究人員指出:“FamousSparrow將目標瞄準了世界各國政府,,這一行為表明FamousSparrow正在從事間諜活動,。”

  ProxyLogon漏洞

  ProxyLogon遠程代碼執(zhí)行(RCE)漏洞于3月被披露,,并在一系列攻擊中被10多個APT組織用來通過shellcode建立對全球Exchange郵件服務器的訪問,。根據(jù)ESET遙測,F(xiàn)amousSparrow在微軟發(fā)布該漏洞的補丁后的第二天就開始利用這些漏洞,。

  根據(jù)ESET的說法,,在FamousSparrow的案例中,它利用該漏洞部署了SparrowDoor,,這在其他攻擊(其中許多針對酒店)中也出現(xiàn)過,。研究人員指出,這些活動在ProxyLogon之前和之后都有發(fā)生,,最早可以追溯到2019年8月,。

  在他們能夠確定初始妥協(xié)向量的情況下,研究人員發(fā)現(xiàn)FamousSparrow的首選作案手法似乎是利用面向互聯(lián)網的易受攻擊的Web應用程序,。

  ESET研究人員表示:“我們認為FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon),、Microsoft SharePoint和Oracle Opera(酒店管理商業(yè)軟件)中已知的遠程代碼執(zhí)行漏洞,這些漏洞被用來投放各種惡意樣本,?!?/p>

  他們補充說:“這再次提醒我們,快速修補面向互聯(lián)網的應用程序至關重要,,如果無法快速修補,,那就不要將它們暴露在互聯(lián)網上?!?/p>

  SparrowDoor間諜工具

  根據(jù)ESET周四發(fā)布的分析,,一旦目標受到攻擊,F(xiàn)amousSparrow就會使用一系列自定義工具感染受害者,。這些包括:

  · 用于橫向運動的Mimikatz變體

  · 一個將ProcDump放到磁盤上并使用它轉儲lsass進程的小實用程序,,可能是為了收集內存中的機密,例如憑據(jù)

  · Nbtscan,,一種NetBIOS掃描器,,用于識別LAN中的文件和打印機

  · SparrowDoor后門的加載器

  研究人員指出,,加載程序通過DLL搜索順序劫持來安裝SparrowDoor。

  他們解釋說:“合法的可執(zhí)行文件Indexer.exe需要庫K7UI.dll才能運行,?!薄耙虼耍僮飨到y(tǒng)按照制定的加載順序在目錄中查找DLL文件,。由于存儲Indexer.exe文件的目錄在加載順序中處于最高優(yōu)先級,,因此它容易受到DLL搜索順序劫持。這正是惡意軟件加載的方式,?!?/p>

  根據(jù)這篇文章,持久性是通過注冊表運行鍵和一個使用二進制硬編碼的XOR加密配置數(shù)據(jù)創(chuàng)建和啟動的服務來設置的,。然后,,惡意軟件在端口433上與命令和控制(C2)服務器建立加密的TLS連接,該服務器可以被代理,,也可以不被代理,。

  然后,惡意軟件通過調整SparrowDoor進程的訪問token以啟用SeDebugPrivilege,,從而實現(xiàn)權限提升,,SeDebugPrivilege是一種合法的Windows實用程序,用于調試自己以外的計算機上的進程,。擁有SeDebugPrivilege的攻擊者可以“調試System擁有的進程,,在這一點上,他們可以將代碼注入進程,,并執(zhí)行與net localgroup administrators anybody/add相當?shù)倪壿嫴僮?,從而將自己(或其他任何人)提升為管理員?!?/p>

  之后,,SparrowDoor嗅出受害者的本地IP地址、與后門進程關聯(lián)的遠程桌面服務會話ID,、用戶名以及計算機名稱,,并將其發(fā)送給C2,,并等待命令返回,,以啟動其間諜活動。

  FamousSparrow主要針對酒店,,但ESET也觀察到了他們針對其他行業(yè)的目標,,包括政府、國際組織,、工程公司和律師事務所,。該組織正在不斷發(fā)展,,它的攻擊目標分散在全球范圍內,包括巴西,、布基納法索,、加拿大、以色列,、法國,、危地馬拉、立陶宛,、沙特阿拉伯,、南非、臺灣,、泰國和英國,。




本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。