ABD merkezli bir ticaret organizasyonuna karşı imza arka kapısının ‘Sparrowdoor’ adlı yeni bir modüler versiyonu kullanılarak Çin bağlantılı bir siber başlık grubu gözlendi.
Etkinlik ve yeni kötü amaçlı yazılım versiyonu, tehdit oyuncusunun son operasyonları 2022’de maruz kaldığı için başlangıçta düşünülenden daha aktif olduğuna dair kanıt bulan ESET’teki güvenlik araştırmacıları tarafından gözlemlendi.
Finansal organizasyonun yanı sıra, ESET’in ortaya çıkardığı ve ünlüsparrow’a bağlı diğer son saldırılar arasında bir Meksika Araştırma Enstitüsü ve Honduras’ta bir devlet kurumu bulunmaktadır.
Tüm bu durumlarda, eski Microsoft Exchange ve Windows Server uç noktalarının kullanımı ile ilk erişim sağlandı ve bunları web kabuklarıyla bulaştı.
.jpg)
Kaynak: ESET
Yeni Modüler Sparrowdoor
ESET’in soruşturması aslında Sparrowdoor arka kapısının iki yeni versiyonunu ortaya çıkardı.
Birincisi, daha iyi kod kalitesi, geliştirilmiş mimari, şifreli konfigürasyon, kalıcılık mekanizmaları ve gizli komut ve kontrol (C2) anahtarlama içeren ‘Dünya Astries’e atfedilen bir arka kapı trendi mikrosuna benzer.
Her iki yeni sürüm için de geçerli olan önemli bir yeni özellik, arka kapının gelen komutları dinlemeye ve önceki kişileri yürütürken işlemeye devam edebileceği paralel komut yürütmedir.
ESET raporunda, “Bu kampanyada kullanılan Sparrowdoor’un her iki sürümü, kod kalitesi ve mimarisinde eskilere kıyasla önemli gelişmeler oluşturuyor.”
“En önemli değişiklik, dosya G/Ç ve etkileşimli kabuk gibi zaman alan komutların paralelleştirilmesidir. Bu, bu görevler gerçekleştirilirken arka kapının yeni komutları işlemeye devam etmesini sağlar.”
En son varyant, eklenti tabanlı bir mimariye sahip modüler bir arka kapı olduğu için en önemli güncellemeleri oluşturur.
Çalışma zamanında C2’den tamamen belleğe yüklenen ve kaçamaklı ve gizli kalırken operasyonel yeteneklerini genişleten yeni eklentiler alabilir.
Bu eklentilerin desteklediği işlemler şunları içerir:
- Kabuk Erişim
- Dosya Sistemi Manipülasyonu
- Anahtarlık
- Vekâlet
- Ekran görüntüsü yakalama
- Dosya aktarımı
- Süreç listesi/öldürme
Shadowpad bağlantısı
ESET’in raporundaki bir başka ilginç bulgu, ünlüsparrow’un birkaç Çin APT ile ilişkili çok yönlü bir modüler uzaktan erişim Trojan (sıçan) olan Shadowpad kullanımıdır.
Araştırmacılar tarafından gözlemlenen saldırılarda, ShadowPad, yeniden adlandırılan bir Microsoft Office IME yürütülebilir kullanılarak DLL yan yükleme yoluyla yüklendi, Windows Media Player (wmplayer.exe) işlemine enjekte edildi ve sıçanla ilişkili bilinen bir C2 sunucusuna bağlandı.
Bu, ünlüsparrow’un artık devlet destekli diğer aktörler gibi yüksek katmanlı Çin siber araçlarına erişebileceğini gösteriyor.
ESET, Microsoft’un ünlüsparrow, Ghostempor ve Earth astries’in bir tehdit kümesi altında Salt Typhoon dediklerini belirtiyor.
Bunu destekleyecek teknik kanıt eksikliği göz önüne alındığında, ESET bunları farklı gruplar olarak izler. Bununla birlikte, araçlarında kod benzerlikleri, benzer sömürü teknikleri ve bazı altyapı yeniden kullanımı olduğunu kabul ediyor.
ESET, bu örtüşmeleri, tüm bu Çin tehdit gruplarını arkasına saklayan ve destekleyen ortak bir üçüncü taraf tedarikçi, yani bir “dijital çeyrek yöneticisi” nin işaretleri olarak açıklıyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.