Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) SparrowDoor Backdoor-Varianten

SparrowDoor Backdoor-Varianten

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:
Deutsch

Die chinesische Cyberspionagegruppe FamousSparrow wird mit neuen Angriffen auf eine US-Handelsgruppe und ein mexikanisches Forschungsinstitut in Verbindung gebracht. Dabei setzte sie neben der Schadsoftware ShadowPad auch ihre berüchtigte SparrowDoor- Backdoor ein. Die im Juli 2024 beobachtete Aktivität markiert das erste Mal, dass die Gruppe ShadowPad nutzte, ein Tool, das häufig von chinesischen staatlich geförderten Akteuren verwendet wird.

Die Entwicklung von SparrowDoor: Eine raffiniertere Bedrohung

FamousSparrow hat zwei neue Varianten seiner SparrowDoor-Backdoor vorgestellt, eine davon modular. Diese Versionen bieten einen deutlichen Funktionssprung und ermöglichen die parallele Ausführung von Befehlen zur Steigerung der Effizienz.

Dies stellt eine wesentliche Verbesserung gegenüber früheren Versionen dar. Es ermöglicht der Malware, Befehle wie Dateioperationen und interaktive Shell-Sitzungen auszuführen, ohne laufende Aufgaben zu verzögern.

Eine Geschichte der Spionage: FamousSparrows bemerkenswerte Angriffe

FamousSparrow wurde erstmals im September 2021 entdeckt und steht im Zusammenhang mit Cyberangriffen auf Hotels, Regierungen, Ingenieurbüros und Anwaltskanzleien. Die Gruppe operierte zuvor unabhängig und nutzte SparrowDoor als exklusives Implantat.

Im Laufe der Zeit haben Forscher taktische Ähnlichkeiten zwischen FamousSparrow und anderen chinesischen Hackergruppen wie Earth Estries, GhostEmperor und Salt Typhoon festgestellt, wobei letztere für ihre Angriffe auf den Telekommunikationssektor bekannt ist. Trotz dieser Überschneidungen gilt FamousSparrow weiterhin als eigenständige Bedrohungsgruppe mit einzigartigen Merkmalen.

Die Angriffskette: Wie sich der Verstoß entwickelte

Der Angriff beginnt damit, dass FamousSparrow eine Web-Shell auf einem anfälligen IIS-Server installiert. Die genaue Methode des ersten Zugriffs ist unbekannt, da beide betroffenen Organisationen veraltete Versionen von Windows und Microsoft Exchange Server nutzten und damit zu bevorzugten Zielen wurden.

Sobald die Web-Shell eingerichtet ist, dient sie als Startrampe für ein Remote-Batch-Skript. Dieses Skript führt eine Base64-kodierte .NET-Web-Shell aus und stellt schließlich sowohl SparrowDoor als auch ShadowPad auf dem kompromittierten System bereit.

So funktioniert SparrowDoor: Ein tiefer Einblick in seine Funktionen

Eine der neuen SparrowDoor-Varianten weist Ähnlichkeiten mit Crowdoor auf, einer bereits bekannten Schadsoftware. Beide Versionen weisen jedoch wesentliche Verbesserungen auf, darunter:

  • Parallele Aufgabenausführung – Die Hintertür kann mehrere Befehle gleichzeitig ausführen und so die Leistung verbessern.
  • Dynamische Befehlsverarbeitung – Befehle lösen einen neuen Thread aus, der eine separate Verbindung zum Command-and-Control-Server (C&C) herstellt.
  • Opferverfolgung – Jede Verbindung enthält eine eindeutige Opfer-ID und Befehls-ID, wodurch der C&C-Server laufende Aufgaben effizient verwalten kann.

SparrowDoor verfügt über eine Reihe von Funktionen, die seine Funktionalität erweitern. Es kann einen Proxy einrichten, verdeckte Kommunikation ermöglichen und interaktive Shell-Sitzungen initiieren, um die Ausführung von Befehlen in Echtzeit zu ermöglichen. Die Backdoor kann außerdem verschiedene Dateioperationen ausführen, darunter Lesen, Schreiben und Ändern von Dateien. Gleichzeitig durchsucht sie das Dateisystem, um verfügbare Verzeichnisse und Daten zu identifizieren. Darüber hinaus sammelt sie detaillierte Hostinformationen, die Angreifern Einblicke in das kompromittierte System gewähren. Bei Bedarf kann sich SparrowDoor sogar vollständig entfernen und so sicherstellen, dass alle Spuren seiner Präsenz gelöscht werden.

Ein modularer Ansatz: Die erweiterte Version von SparrowDoor

Die zweite, fortgeschrittenere SparrowDoor-Variante führt ein modulares, Plugin-basiertes Design ein und erweitert seine Fähigkeiten durch neun spezialisierte Module:

  • Cmd – Systembefehle ausführen
  • CFile – Dateivorgänge verwalten
  • CKeylogPlug – Tastatureingaben protokollieren
  • CSocket – Richten Sie einen TCP-Proxy ein
  • CShell – Interaktive Shell-Sitzungen starten
  • CTransf – Übertragen Sie Dateien zwischen dem infizierten Host und dem C&C-Server
  • CRdp – Screenshots aufnehmen
  • CPro – Laufende Prozesse auflisten und beenden
  • CFileMoniter – Verfolgen Sie Dateisystemänderungen in bestimmten Verzeichnissen

FamousSparrow: Immer noch aktiv, immer noch in der Entwicklung

Diese jüngste Aktivitätswelle bestätigt, dass FamousSparrow nicht nur weiterhin aktiv ist, sondern auch in die kontinuierliche Weiterentwicklung seiner SparrowDoor-Backdoor investiert. Mit der Einführung modularer Funktionen und der Nutzung von ShadowPad entwickelt sich die Gruppe deutlich weiter und stellt künftig eine noch größere Bedrohung für die Cybersicherheit dar.

Im Trend

Am häufigsten gesehen

Wird geladen...