Çin tehdit oyuncusu olarak bilinen Ünlü Amerika Birleşik Devletleri’ndeki bir ticaret grubunu hedefleyen bir siber saldırı ve amiral gemisi arka kapısı Sparrowdoor ve Shadowpad’i sunmak için Meksika’daki bir araştırma enstitüsü ile bağlantılıdır.
Temmuz 2024’te gözlemlenen etkinlik, Hacking ekibinin Çin devlet destekli aktörler tarafından yaygın olarak paylaşılan bir kötü amaçlı yazılım olan ShadowPad’i ilk kez konuşlandırdığını işaret ediyor.
Hacker News ile paylaşılan bir raporda ESET, “Ünlüsparrow, bunlardan biri modüler olan Sparrowdoor Backdoor’un daha önce belgelenmemiş iki versiyonunu konuşlandırdı.” Dedi. “Her iki versiyon da öncekiler üzerinde önemli ilerleme oluşturuyor ve komutların paralelleştirilmesini uyguluyor.”
Ünlüsparrow ilk olarak Eylül 2021’de Slovak Siber Güvenlik Şirketi tarafından, sadece grup tarafından kullanılan bir implant olan otellere, hükümetlere, mühendislik şirketlerine ve Sparrowdoor ile hukuk firmalarına yönelik bir dizi siber saldırı ile bağlantılı olarak belgelendi.
O zamandan beri, çekişmeli kolektifin, telekom sektörüne yönelik müdahalelere atfedilen toprak östrileri, Ghostempor ve Talfoon olarak izlenen kümelerle taktiksel örtüşmelerinin raporları var.
Bununla birlikte, ESET, ünlüsparrow’u, Crowdoor ve Hemigate ile paralelliklerden kaynaklanan Dünya astries’e bazı gevşek bağlantılara sahip farklı bir tehdit grubu olarak ele aldığını belirtti.
Saldırı zinciri, bir İnternet Bilgi Hizmetleri (IIS) sunucusunda bir web kabuğu dağıtan tehdit oyuncusu içerir, ancak bunu başarmak için kullanılan kesin mekanizma henüz bilinmemektedir. Her iki kurban da Windows Server ve Microsoft Exchange Server’ın modası geçmiş sürümlerini çalıştırdığı söyleniyor.
Web kabuğu, uzak bir sunucudan bir toplu komut dosyasını bırakmak için bir kanal görevi görür, bu da buna taban 64 kodlu bir .NET web kabuğunu başlatır. Bu web kabuğu nihayetinde Sparrowdoor ve ShadowPad’i dağıtmaktan sorumludur.
ESET, Sparrowdoor sürümlerinden birinin Crowdoor’a benzediğini, ancak her iki varyantın seleflerine göre önemli gelişmeler sunduğunu söyledi. Bu, dosya G/Ç ve etkileşimli kabuk gibi zaman alıcı komutları aynı anda yürütme yeteneğini içerir, böylece arka kapağın çalışırken gelen talimatları işlemesine izin verir.
Güvenlik araştırmacısı Alexandre Côté Cyr, “Arka kapı bu komutlardan birini aldığında, C&C sunucusuna yeni bir bağlantı başlatan bir iş parçacığı oluşturuyor.” Dedi. “Benzersiz kurban kimliği daha sonra bu yeni bağlantıya yol açan komutu gösteren bir komut kimliği ile birlikte yeni bağlantının üzerinden gönderilir.”
“Bu, C&C sunucusunun hangi bağlantıların aynı kurbanla ilişkili olduğunu ve amaçlarının ne olduğunu izlemesini sağlar. Bu iş parçacıklarının her biri belirli bir alt komut setini idare edebilir.”
Sparrowdoor, bir proxy başlatmasına, etkileşimli kabuk oturumlarını başlatmasına, dosya işlemlerini gerçekleştirmesine, dosya sistemini numaralandırmasına, ana bilgisayar bilgilerini toplamasına ve hatta kaldırmasına izin veren çok çeşitli komutlar sunar.
Buna karşılık, arka kapının ikinci versiyonu modüler ve diğer eserlerden belirgin şekilde farklıdır ve hedeflerini gerçekleştirmek için eklenti tabanlı bir yaklaşım benimsemektedir. Dokuz farklı modülü destekler –
- CMD – Tek bir komut çalıştırın
- CFILE – Dosya sistemi işlemlerini gerçekleştirin
- CKEYLOGPLUG – Log Keystrokes
- CSocket – Bir TCP Proxy başlat
- CShell – Etkileşimli bir kabuk oturumu başlatın
- CTRANSF – Meyveden çıkarılan Windows Ana bilgisayar ile C&C sunucusu arasında dosya aktarımını başlatın
- CRDP – Ekran görüntüleri alın
- CPRO – Çalışan işlemleri listeleyin ve belirli olanları öldürün
- CFILemoniter – Belirtilen dizinler için dosya sistemi değişikliklerini izleyin
ESET, “Bu yeni bulunan etkinlik, sadece grubun hala faaliyet gösterdiğini değil, aynı zamanda bu süre zarfında Sparrowdoor’un yeni sürümlerini aktif olarak geliştirdiğini gösteriyor.” Dedi.