《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > APT團(tuán)伙FamousSparrow開(kāi)始監(jiān)視酒店和政府部門(mén)

APT團(tuán)伙FamousSparrow開(kāi)始監(jiān)視酒店和政府部門(mén)

2021-09-28
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: APT 酒店 政府

  一個(gè)被研究人員稱(chēng)為“FamousSparrow”的網(wǎng)絡(luò)間諜組織利用自定義后門(mén)(被稱(chēng)為“SparrowDoor”)攻擊了世界各地的酒店、政府和私人組織。據(jù)ESET稱(chēng),這是今年早些時(shí)候針對(duì)ProxyLogon漏洞的高級(jí)持續(xù)威脅(APT)之一,盡管其活動(dòng)直到最近才被曝光。

  據(jù)該公司稱(chēng),后門(mén)的惡意行為包括:重命名或刪除文件;創(chuàng)建目錄;關(guān)閉進(jìn)程;發(fā)送文件屬性、文件大小、文件寫(xiě)入時(shí)間等信息;提取指定文件的內(nèi)容;將數(shù)據(jù)寫(xiě)入指定文件;或者建立一個(gè)交互式的反向shell。還有一個(gè)終止開(kāi)關(guān),用于從受害機(jī)器中刪除持久性設(shè)置和所有SparrowDoor文件。

  研究人員指出:“FamousSparrow將目標(biāo)瞄準(zhǔn)了世界各國(guó)政府,這一行為表明FamousSparrow正在從事間諜活動(dòng)?!?/p>

  ProxyLogon漏洞

  ProxyLogon遠(yuǎn)程代碼執(zhí)行(RCE)漏洞于3月被披露,并在一系列攻擊中被10多個(gè)APT組織用來(lái)通過(guò)shellcode建立對(duì)全球Exchange郵件服務(wù)器的訪問(wèn)。根據(jù)ESET遙測(cè),F(xiàn)amousSparrow在微軟發(fā)布該漏洞的補(bǔ)丁后的第二天就開(kāi)始利用這些漏洞。

  根據(jù)ESET的說(shuō)法,在FamousSparrow的案例中,它利用該漏洞部署了SparrowDoor,這在其他攻擊(其中許多針對(duì)酒店)中也出現(xiàn)過(guò)。研究人員指出,這些活動(dòng)在ProxyLogon之前和之后都有發(fā)生,最早可以追溯到2019年8月。

  在他們能夠確定初始妥協(xié)向量的情況下,研究人員發(fā)現(xiàn)FamousSparrow的首選作案手法似乎是利用面向互聯(lián)網(wǎng)的易受攻擊的Web應(yīng)用程序。

  ESET研究人員表示:“我們認(rèn)為FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商業(yè)軟件)中已知的遠(yuǎn)程代碼執(zhí)行漏洞,這些漏洞被用來(lái)投放各種惡意樣本。”

  他們補(bǔ)充說(shuō):“這再次提醒我們,快速修補(bǔ)面向互聯(lián)網(wǎng)的應(yīng)用程序至關(guān)重要,如果無(wú)法快速修補(bǔ),那就不要將它們暴露在互聯(lián)網(wǎng)上。”

  SparrowDoor間諜工具

  根據(jù)ESET周四發(fā)布的分析,一旦目標(biāo)受到攻擊,F(xiàn)amousSparrow就會(huì)使用一系列自定義工具感染受害者。這些包括:

  · 用于橫向運(yùn)動(dòng)的Mimikatz變體

  · 一個(gè)將ProcDump放到磁盤(pán)上并使用它轉(zhuǎn)儲(chǔ)lsass進(jìn)程的小實(shí)用程序,可能是為了收集內(nèi)存中的機(jī)密,例如憑據(jù)

  · Nbtscan,一種NetBIOS掃描器,用于識(shí)別LAN中的文件和打印機(jī)

  · SparrowDoor后門(mén)的加載器

  研究人員指出,加載程序通過(guò)DLL搜索順序劫持來(lái)安裝SparrowDoor。

  他們解釋說(shuō):“合法的可執(zhí)行文件Indexer.exe需要庫(kù)K7UI.dll才能運(yùn)行?!薄耙虼?,操作系統(tǒng)按照制定的加載順序在目錄中查找DLL文件。由于存儲(chǔ)Indexer.exe文件的目錄在加載順序中處于最高優(yōu)先級(jí),因此它容易受到DLL搜索順序劫持。這正是惡意軟件加載的方式?!?/p>

  根據(jù)這篇文章,持久性是通過(guò)注冊(cè)表運(yùn)行鍵和一個(gè)使用二進(jìn)制硬編碼的XOR加密配置數(shù)據(jù)創(chuàng)建和啟動(dòng)的服務(wù)來(lái)設(shè)置的。然后,惡意軟件在端口433上與命令和控制(C2)服務(wù)器建立加密的TLS連接,該服務(wù)器可以被代理,也可以不被代理。

  然后,惡意軟件通過(guò)調(diào)整SparrowDoor進(jìn)程的訪問(wèn)token以啟用SeDebugPrivilege,從而實(shí)現(xiàn)權(quán)限提升,SeDebugPrivilege是一種合法的Windows實(shí)用程序,用于調(diào)試自己以外的計(jì)算機(jī)上的進(jìn)程。擁有SeDebugPrivilege的攻擊者可以“調(diào)試System擁有的進(jìn)程,在這一點(diǎn)上,他們可以將代碼注入進(jìn)程,并執(zhí)行與net localgroup administrators anybody/add相當(dāng)?shù)倪壿嫴僮鳎瑥亩鴮⒆约海ɑ蚱渌魏稳耍┨嵘秊楣芾韱T?!?/p>

  之后,SparrowDoor嗅出受害者的本地IP地址、與后門(mén)進(jìn)程關(guān)聯(lián)的遠(yuǎn)程桌面服務(wù)會(huì)話ID、用戶名以及計(jì)算機(jī)名稱(chēng),并將其發(fā)送給C2,并等待命令返回,以啟動(dòng)其間諜活動(dòng)。

  FamousSparrow主要針對(duì)酒店,但ESET也觀察到了他們針對(duì)其他行業(yè)的目標(biāo),包括政府、國(guó)際組織、工程公司和律師事務(wù)所。該組織正在不斷發(fā)展,它的攻擊目標(biāo)分散在全球范圍內(nèi),包括巴西、布基納法索、加拿大、以色列、法國(guó)、危地馬拉、立陶宛、沙特阿拉伯、南非、臺(tái)灣、泰國(guó)和英國(guó)。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。