ESET, Amerika Birleşik Devletleri’nde finans sektöründe faaliyet gösteren bir ticaret grubu ağında şüpheli faaliyetleri araştırdı. Etkilenen varlığın uzlaşmayı düzeltmesine yardımcı olurken, kurbanın sisteminde beklenmedik bir keşif yaptılar: Çin’e uyumlu bir APT grubu olan ünlüsparrow’a ait kötü amaçlı araçlar. 2022’den beri ünlüsparrow tarafından halka açık bir faaliyet olmadığı için grup aktif olarak kabul edildi.
Bu ünlüSparrow kampanyasında kullanılan uzlaşma zincirine genel bakış. Kaynak: ESET
Ünlüsparrow, en az 2019’dan beri aktif olan bir siber başlık grubudur. ESET Research, 2021’de proxylogon kırılganlığından yararlandığını gözlemlediğinde grubu ilk kez kamuya açıkladı. Başlangıçta dünya çapında otelleri hedeflemekle bilinen grup, hükümetleri, uluslararası kuruluşları, mühendislik şirketlerini ve hukuk firmalarını hedef aldı. Ünlüsparrow, Sparrowdoor arka kapısının bilinen tek kullanıcısıdır.
Araştırma, ünlüsparrow’un sadece bu dönemde hala aktif olduğunu değil, aynı zamanda araç setini de geliştirmesi gerektiğini gösteriyor, çünkü tehlikeye atılan ağ bir değil, daha önce iki belgelenmemiş SPARRrowdoor, FamilySparrow’un amiral gemisi arka kapısı olduğunu gösteriyor.
Araştırmacılar, Honduras’ta bir devlet kurumunu hedeflemek de dahil olmak üzere 2022-2024 döneminde grubun ek faaliyetlerini ortaya çıkardılar. Ayrıca, bu kampanyanın bir parçası olarak, tehdit oyuncunun, her ikisi de Haziran 2024’ün sonlarında uzlaşmadan sadece birkaç gün önce Meksika’da bir araştırma enstitüsünü ihlal etmeyi başardığını keşfettiler. Her ikisi de Sparrowdoor’un her ikisi de, daha önceki yinelemeler üzerinde, özellikle de kalite ve mimarlık açısından, daha erken yinelemeler üzerinde ilerlemeyi oluşturduğunu ve komuta açısından, komuta açısından, komuta açısından belirgin olduğunu keşfetti.
ESET araştırmacısı Alexandre Cyr Cyr, “Bu yeni sürümler önemli yükseltmeler sergilerken, yine de daha önce, kamuya açık belgelenmiş sürümlere kadar izlenebilirler. Bu saldırılarda kullanılan yükleyiciler, daha önce ünlüsparrow’a atfedilen numunelerle önemli kod örtüşüyor” diyor.
Ünlüsparrow, etkilenen ağa ilk erişim elde etmek için bir IIS sunucusuna bir web kabuğu dağıttı. ESET, web kabuklarını dağıtmak için kullanılan tam istismarını belirleyemese de, her iki kurban da kamuya açık birkaç istismar olan Windows Server ve Microsoft Exchange’in modası geçmiş sürümlerini çalıştırıyordu.
Kampanyada kullanılan araç setine gelince, tehdit oyuncusu özel araçlar ve kötü amaçlı yazılımların bir karışımını, Çin’e uyumlu APT grupları ve halka açık kaynaklardan paylaşılan bir karışım kullandı. Son yükler sıradan Sparrowdoor ve Shadowpad idi. Bunların arasında komutlar, dosya sistemi işlemleri, anahtarlama, dosyaları aktarma, süreçleri listeleme ve öldürme, dosya sistemi değişikliklerini izleme ve ekran görüntüleri alabilen eklentiler vardı.
Eylül 2024’te WSJ, Amerika Birleşik Devletleri’ndeki İnternet servis sağlayıcılarının Salt Typhoon adlı bir tehdit aktörü tarafından tehlikeye atıldığını bildiren bir makale (kayıt gerekli) yayınladı. Makale, Microsoft’un bu tehdit oyuncusunun ünlüsparrow ve Ghostemperor ile aynı olduğunu iddia ediyor.
Côté Cyr, “Son iki grubu birleştiren ilk halka açık rapordu. Bununla birlikte, Ghostempor ve FamilySparrow’u iki farklı grup olarak görüyoruz. İki ancak birçok tutarsızlık arasında çok az örtüşme var. Halka açık raporların analizlerine ve analizlerine dayanarak, ünlüsparrow diğerlerine gevşek bağlantılarla kendi farklı kümesi gibi görünüyor” diye açıklıyor Côté Cyr.