SpatzTür

SparrowDoor ist die Hauptbedrohung, die von einer neu entdeckten APT-Gruppe (Advanced Persistent Threat) verwendet wird, die als FamousSparow verfolgt wird. Die Hacker scheinen Hotels auf der ganzen Welt ins Visier zu nehmen, um Daten abzusaugen. Bei verschiedenen Gelegenheiten hat FamousSparow auch Ingenieurunternehmen, Anwaltskanzleien und Regierungsorganisationen kompromittiert.

Der Einsatz von SparrowDoor

Die SparrowDoor-Hintertür wird über einen Loader mit DLL-Hijacking an die Maschine des Opfers geliefert. Der Loader verwendet drei Elemente - eine legitime ausführbare K& Computing-Datei (Indexer.exe), eine beschädigte DLL-Datei (K7UI.dll) und einen verschlüsselten Shellcode (MpSvc.dll). Alle drei werden im Ordner %PROGRAMDATA%\Software\ abgelegt.

Um Persistenz herzustellen, verlässt sich SparrowDoor auf einen Registry Run-Schlüssel und einen Dienst, der mit den Konfigurationsdaten erstellt und gestartet wird, die in der Binärdatei der Malware festcodiert sind. Danach versucht es, seine Berechtigungen zu erweitern, indem es das Zugriffstoken seines Prozesses anpasst. Der letzte Schritt umfasst das Senden von Systemdaten an den Command-and-Control (C2, C&C)-Server und das anschließende Warten auf eingehende Befehle.

Bedrohliche Funktionalität

SparrowDoor erkennt über 10 verschiedene Befehle. Es kann das Dateisystem auf dem kompromittierten Computer manipulieren - Dateien erstellen, umbenennen und löschen. Es kann auch verschiedene Daten an den Server exfiltrieren, einschließlich Dateiinformationen (Dateiattribute, Dateigröße und Dateischreibzeit) und den Inhalt der angegebenen Dateien. Die Malware kann laufende Prozesse beenden und eine interaktive Reverse Shell aufbauen. Wenn die Hacker ihre Spuren maskieren müssen, können sie SparrowDoor anweisen, seinen Persistenzmechanismus zu entfernen und seine Dateien zu löschen.