《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > APT團伙FamousSparrow開始監(jiān)視酒店和政府部門

APT團伙FamousSparrow開始監(jiān)視酒店和政府部門

2021-09-28
來源:嘶吼專業(yè)版
關(guān)鍵詞: APT 酒店 政府

  一個被研究人員稱為“FamousSparrow”的網(wǎng)絡(luò)間諜組織利用自定義后門(被稱為“SparrowDoor”)攻擊了世界各地的酒店,、政府和私人組織,。據(jù)ESET稱,這是今年早些時候針對ProxyLogon漏洞的高級持續(xù)威脅(APT)之一,,盡管其活動直到最近才被曝光,。

  據(jù)該公司稱,后門的惡意行為包括:重命名或刪除文件,;創(chuàng)建目錄,;關(guān)閉進程;發(fā)送文件屬性,、文件大小,、文件寫入時間等信息;提取指定文件的內(nèi)容,;將數(shù)據(jù)寫入指定文件,;或者建立一個交互式的反向shell。還有一個終止開關(guān),,用于從受害機器中刪除持久性設(shè)置和所有SparrowDoor文件,。

  研究人員指出:“FamousSparrow將目標(biāo)瞄準(zhǔn)了世界各國政府,這一行為表明FamousSparrow正在從事間諜活動,?!?/p>

  ProxyLogon漏洞

  ProxyLogon遠程代碼執(zhí)行(RCE)漏洞于3月被披露,并在一系列攻擊中被10多個APT組織用來通過shellcode建立對全球Exchange郵件服務(wù)器的訪問。根據(jù)ESET遙測,,F(xiàn)amousSparrow在微軟發(fā)布該漏洞的補丁后的第二天就開始利用這些漏洞,。

  根據(jù)ESET的說法,在FamousSparrow的案例中,,它利用該漏洞部署了SparrowDoor,,這在其他攻擊(其中許多針對酒店)中也出現(xiàn)過。研究人員指出,,這些活動在ProxyLogon之前和之后都有發(fā)生,,最早可以追溯到2019年8月。

  在他們能夠確定初始妥協(xié)向量的情況下,,研究人員發(fā)現(xiàn)FamousSparrow的首選作案手法似乎是利用面向互聯(lián)網(wǎng)的易受攻擊的Web應(yīng)用程序,。

  ESET研究人員表示:“我們認為FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商業(yè)軟件)中已知的遠程代碼執(zhí)行漏洞,,這些漏洞被用來投放各種惡意樣本,。”

  他們補充說:“這再次提醒我們,,快速修補面向互聯(lián)網(wǎng)的應(yīng)用程序至關(guān)重要,,如果無法快速修補,那就不要將它們暴露在互聯(lián)網(wǎng)上,?!?/p>

  SparrowDoor間諜工具

  根據(jù)ESET周四發(fā)布的分析,一旦目標(biāo)受到攻擊,,F(xiàn)amousSparrow就會使用一系列自定義工具感染受害者,。這些包括:

  · 用于橫向運動的Mimikatz變體

  · 一個將ProcDump放到磁盤上并使用它轉(zhuǎn)儲lsass進程的小實用程序,可能是為了收集內(nèi)存中的機密,,例如憑據(jù)

  · Nbtscan,,一種NetBIOS掃描器,用于識別LAN中的文件和打印機

  · SparrowDoor后門的加載器

  研究人員指出,,加載程序通過DLL搜索順序劫持來安裝SparrowDoor,。

  他們解釋說:“合法的可執(zhí)行文件Indexer.exe需要庫K7UI.dll才能運行?!薄耙虼?,操作系統(tǒng)按照制定的加載順序在目錄中查找DLL文件。由于存儲Indexer.exe文件的目錄在加載順序中處于最高優(yōu)先級,,因此它容易受到DLL搜索順序劫持,。這正是惡意軟件加載的方式?!?/p>

  根據(jù)這篇文章,,持久性是通過注冊表運行鍵和一個使用二進制硬編碼的XOR加密配置數(shù)據(jù)創(chuàng)建和啟動的服務(wù)來設(shè)置的,。然后,惡意軟件在端口433上與命令和控制(C2)服務(wù)器建立加密的TLS連接,,該服務(wù)器可以被代理,也可以不被代理,。

  然后,,惡意軟件通過調(diào)整SparrowDoor進程的訪問token以啟用SeDebugPrivilege,從而實現(xiàn)權(quán)限提升,,SeDebugPrivilege是一種合法的Windows實用程序,,用于調(diào)試自己以外的計算機上的進程。擁有SeDebugPrivilege的攻擊者可以“調(diào)試System擁有的進程,,在這一點上,,他們可以將代碼注入進程,并執(zhí)行與net localgroup administrators anybody/add相當(dāng)?shù)倪壿嫴僮?,從而將自己(或其他任何人)提升為管理員,。”

  之后,,SparrowDoor嗅出受害者的本地IP地址,、與后門進程關(guān)聯(lián)的遠程桌面服務(wù)會話ID、用戶名以及計算機名稱,,并將其發(fā)送給C2,,并等待命令返回,以啟動其間諜活動,。

  FamousSparrow主要針對酒店,,但ESET也觀察到了他們針對其他行業(yè)的目標(biāo),包括政府,、國際組織,、工程公司和律師事務(wù)所。該組織正在不斷發(fā)展,,它的攻擊目標(biāo)分散在全球范圍內(nèi),,包括巴西、布基納法索,、加拿大,、以色列、法國,、危地馬拉,、立陶宛、沙特阿拉伯,、南非,、臺灣,、泰國和英國。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com,。