ESET araştırmacıları, Çin’e hizalanmış APT Grubu Ünlüsparrow’dan yeni etkinlikleri ortaya çıkardılar ve özel Sparrowdoor arka kapısının daha önce belgelenmemiş iki versiyonunu ortaya çıkardılar.
2022’den beri aktif olmadığı düşünülen grup, Temmuz 2024’te ABD merkezli bir ticaret organizasyonunu ve bir Meksika Araştırma Enstitüsü’nü tehlikeye attı.
Birinci varyant, Dünya Astries’e atfedilen Crowdoor kötü amaçlı yazılımlara benzerken, ikincisi modüler bir mimari sunuyor.
Her iki sürüm de kod kalitesi ve uygulama komutu paralelleştirmesinde önemli gelişmeler gösterir ve zaman alıcı işlemlerin eşzamanlı olarak yürütülmesine izin verir.
Genişletilmiş araç seti ve altyapı
Ünlüsparrow’un cephaneliği artık tipik olarak Çin uyumlu tehdit aktörleriyle ilişkili özel olarak satılan bir arka kapı olan Shadowpad içeriyor.
Grup, Sıkıştırma Sonrası için PowerHub ve ayrıcalık artışı için badpotato dahil olmak üzere özel ve halka açık araçların bir karışımını kullandı.
Saldırganlar başlangıçta tehlikeye atılan IIS sunucularına bir ASHX webshell kullandı ve muhtemelen eski Windows Server ve Microsoft Exchange kurulumlarındaki güvenlik açıklarından yararlandı.
Daha sonra keşif ve daha fazla yük dağıtım için etkileşimli PowerShell oturumları oluşturdular.
Sparrowdoor’un evrimi, hem kayıt defteri çalıştırma anahtarlarını hem de Windows hizmetlerini kullanan gelişmiş kalıcılık mekanizmalarını içerir.
Arka kapı, özel soket sınıfları ve veri iletimi için RC4 şifrelemesini kullanarak sofistike ağ iletişimi uygular.
Bu kampanya, Shadowpad’in ünlüsparrow tarafından ilk gözlemlenen kullanımını işaret eder ve potansiyel olarak yeteneklerinin genişlemesini gösterir.
Grubun hedefleri, misafirperverlik sektörünün ötesinde hükümetleri, uluslararası kuruluşları ve mühendislik firmalarını içerecek şekilde çeşitlendi.
ESET araştırmacıları, ünlüsparrow ve Earth Astries ve Ghostemperor gibi diğer tehdit aktörleri arasındaki potansiyel örtüşmelere dikkat çekiyor.
Bununla birlikte, ünlüsparrow’un bu gruplara gevşek bağlantıları olan farklı bir kümeyi temsil ettiğini savunurlar.
Bu son aktivitenin keşfi, ünlüsparrow’un sürekli olarak aktif olduğunu ve 2022’den beri araç setini geliştirdiğini göstermektedir.
Tehdit manzarası geliştikçe, hedeflenen sektörlerdeki kuruluşlar uyanık kalmalı ve bu sofistike saldırılara karşı savunmak için güçlü güvenlik önlemleri uygulamalıdır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.