APT团伙FamousSparrow开始监视酒店和政府部门

安全
自定义的“SparrowDoor”后门允许攻击者从全球目标收集数据。研究人员指出:“FamousSparrow将目标瞄准了世界各国政府,这一行为表明FamousSparrow正在从事间谍活动。”

[[426362]]

一个被研究人员称为“FamousSparrow”的网络间谍组织利用自定义后门(被称为“SparrowDoor”)攻击了世界各地的酒店、政府和私人组织。据ESET称,这是今年早些时候针对ProxyLogon漏洞的高级持续威胁(APT)之一,尽管其活动直到最近才被曝光。

据该公司称,后门的恶意行为包括:重命名或删除文件;创建目录;关闭进程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或者建立一个交互式的反向shell。还有一个终止开关,用于从受害机器中删除持久性设置和所有SparrowDoor文件。

研究人员指出:“FamousSparrow将目标瞄准了世界各国政府,这一行为表明FamousSparrow正在从事间谍活动。”

ProxyLogon漏洞

ProxyLogon远程代码执行(RCE)漏洞于3月被披露,并在一系列攻击中被10多个APT组织用来通过shellcode建立对全球Exchange邮件服务器的访问。根据ESET遥测,FamousSparrow在微软发布该漏洞的补丁后的第二天就开始利用这些漏洞。

根据ESET的说法,在FamousSparrow的案例中,它利用该漏洞部署了SparrowDoor,这在其他攻击(其中许多针对酒店)中也出现过。研究人员指出,这些活动在ProxyLogon之前和之后都有发生,最早可以追溯到2019年8月。

在他们能够确定初始妥协向量的情况下,研究人员发现FamousSparrow的首选作案手法似乎是利用面向互联网的易受攻击的Web应用程序。

ESET研究人员表示:“我们认为FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商业软件)中已知的远程代码执行漏洞,这些漏洞被用来投放各种恶意样本。”

他们补充说:“这再次提醒我们,快速修补面向互联网的应用程序至关重要,如果无法快速修补,那就不要将它们暴露在互联网上。”

SparrowDoor间谍工具

根据ESET周四发布的分析,一旦目标受到攻击,FamousSparrow就会使用一系列自定义工具感染受害者。这些包括:

  •  用于横向运动的Mimikatz变体
  •  一个将ProcDump放到磁盘上并使用它转储lsass进程的小实用程序,可能是为了收集内存中的机密,例如凭据
  •  Nbtscan,一种NetBIOS扫描器,用于识别LAN中的文件和打印机
  • SparrowDoor后门的加载器

研究人员指出,加载程序通过DLL搜索顺序劫持来安装SparrowDoor。

他们解释说:“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”“因此,操作系统按照制定的加载顺序在目录中查找DLL文件。由于存储Indexer.exe文件的目录在加载顺序中处于最高优先级,因此它容易受到DLL搜索顺序劫持。这正是恶意软件加载的方式。”

根据这篇文章,持久性是通过注册表运行键和一个使用二进制硬编码的XOR加密配置数据创建和启动的服务来设置的。然后,恶意软件在端口433上与命令和控制(C2)服务器建立加密的TLS连接,该服务器可以被代理,也可以不被代理。

然后,恶意软件通过调整SparrowDoor进程的访问token以启用SeDebugPrivilege,从而实现权限提升,SeDebugPrivilege是一种合法的Windows实用程序,用于调试自己以外的计算机上的进程。拥有SeDebugPrivilege的攻击者可以“调试System拥有的进程,在这一点上,他们可以将代码注入进程,并执行与net localgroup administrators anybody/add相当的逻辑操作,从而将自己(或其他任何人)提升为管理员。”

之后,SparrowDoor嗅出受害者的本地IP地址、与后门进程关联的远程桌面服务会话ID、用户名以及计算机名称,并将其发送给C2,并等待命令返回,以启动其间谍活动。

FamousSparrow主要针对酒店,但ESET也观察到了他们针对其他行业的目标,包括政府、国际组织、工程公司和律师事务所。该组织正在不断发展,它的攻击目标分散在全球范围内,包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。

本文翻译自:https://threatpost.com/famoussparrow-spy-hotels-governments/174948/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2020-12-28 10:41:21

黑客新冠病毒网络攻击

2010-04-06 10:06:27

VoIP

2016-07-19 09:59:43

云计算

2012-10-11 09:16:42

政府部门开发

2010-08-15 13:35:59

2018-03-20 09:41:53

2024-02-26 11:55:18

2021-10-27 13:10:05

HarvesterAPT恶意软件

2021-05-28 09:50:28

黑客攻击数据泄漏

2022-02-09 10:24:22

APT组织网络攻击黑客

2016-07-28 12:24:15

云计算

2019-03-05 13:03:42

云计算云采用迁移

2022-09-07 10:16:55

首席信息安全官网络安全数字化转型

2016-02-01 11:05:42

Gartner云服务

2014-08-29 16:08:58

太一星晨

2012-08-10 17:06:58

惠普文印解决方案

2017-07-03 15:04:35

2022-05-19 13:27:25

网络攻击勒索软件赎金

2021-06-15 06:53:29

Verizon5G专网

2009-05-12 18:51:09

Vmware虚拟化数据中心
点赞
收藏

51CTO技术栈公众号