ESET araştırmacılarının yakın tarihli bir soruşturması, Çin’e uyumlu ileri süren Kalıcı Tehdit (APT) grubunun (AKA Salt Typhoon) devam eden faaliyetlerine ve gelişen araç setine ışık tuttu.
Temmuz 2024’te ABD merkezli bir finansal ticaret grubunda tespit edilen şüpheli faaliyetlerle başlatılan soruşturma, ünlü sparrow’un kötü niyetli yeteneklerini özenle artırdığını ortaya koydu. Kanıtlar, grubun genişleme hedefleme kapsamını gösteren Honduras’ta bir Meksika araştırma enstitüsü ve bir devlet kurumunun eşzamanlı ihlaline işaret etti.
Ayrıca, bu kampanya, sadece Çin ilgi alanlarıyla uyumlu tehdit aktörlerine verildiği bilinen özel olarak dağıtılmış bir arka kapı olan ShadowPad’i kullanan ünlüsparrow’un ilk belgelenmiş örneğini işaret etti.
Analiz, grubun imza kötü amaçlı yazılımının Sparrowdoor’un yeni keşfedilen iki sürümünün detaylandırılmasını detaylandırdı. Bir versiyon, Trend Micro tarafından Earth Astries Apt Grubuna atfedilen bir araç olan “Crowdoor” Backdoor’a benzerken, diğeri ise modüler bir tasarım, önceki Sparrowdoor örneklerinden önemli ölçüde sapıyor.
ESET araştırmacıları blog yazısında, “Bizim bakış açımızdan, bunlar farklı bir aile yerine Sparrowdoor’daki sürekli geliştirme çabasının bir parçası” dedi.
Saldırı zinciri, bir Web Shell’in İnternet Bilgi Hizmetleri (IIS) sunucusuna dağıtılmasıyla başladı. Araştırmacılar, bu sistemler için birkaç kamu istismarının mevcudiyeti göz önüne alındığında, Windows Server ve Microsoft Exchange’in eski sürümlerindeki güvenlik açıklarının kullanıldığından şüpheleniyorlar. Grup, Sparrowdoor ve ShadowPad’in konuşlandırılmasıyla sonuçlanan Çin’e uyumlu APT’ler arasında paylaşılan özel kötü amaçlı yazılım ve araçların bir kombinasyonunu kullandı.
Saldırganlar, uzak bir sunucudan indirilen bir toplu komut dosyası aracılığıyla erişim kazandı, bu da daha sonra bir .NET webshell’i dağıttı, bu da uzaktan PowerShell oturumları oluşturmalarına, sistem bilgilerini toplamalarına ve PowerHub çerçevesine dahil edilen halka açık istismarları kullanarak ayrıcalıkları artırmalarına izin verdi.
Son aşama, DLL yan yükleme için meşru bir antivirüs yürütülebilir kullanan Sparrowdoor’u yürütmek için sofistike bir “trident yükleme şeması” içeriyordu. Araştırmacılar, “Bu kampanyada, hepsi 80 bağlantı noktasını kullanan üç benzersiz Sparrowdoor C&C sunucusu gözlemledik” dedi.
Yeni Sparrowdoor sürümleri, paralel komut işleme ve ek işlevlerin dinamik yüklenmesi için eklenti tabanlı bir mimari de dahil olmak üzere teknik gelişmişliği göstermektedir. ESET araştırmacıları henüz herhangi bir eklenti gözlemlememiş olsa da, kod analizi bu modüler tasarımın çekirdek arka kapının izlenebilirliğini en aza indirerek algılamadan kaçınmayı amaçladığını göstermektedir.
ESET araştırmacıları, Sparrowdoor’un özel kullanımı ve daha önce belgelenmiş örneklerle önemli kod örtüşmesi nedeniyle gözlemlenen etkinliği ünlü sParrow’a güvenle ilişkilendirmişlerdir. Ünlüsparrow, hayalet imperor ve toprak astries’in, Microsoft Tehdit Zekası tarafından Tuz Typhoon kümesi altında önerilen bir teori olan tutarsızlıkları ve iddia edilen bağlantılarını destekleyen kesin kanıtların eksikliğini belirten farklı gruplar olduğunu savunuyorlar.
Kısmi kodun, toprak östrileriyle ilişkili bir araç olan Sparrowdoor ve Hemigate arasındaki örtüşme olduğunu kabul ederler. Bununla birlikte, bu örtüşmelerin grupların tam birleşmesinden ziyade araçlar veya altyapı sağlayan “dijital çeyrek yöneticisi” gibi ortak bir üçüncü tarafın varlığı ile daha iyi açıklanabileceğini öne sürüyorlar.