26 mars 2025Ravie LakshmananMalware / vulnérabilité

L’acteur de menace chinois connue sous le nom FammeSparrow a été lié à une cyberattaque ciblant un groupe commercial aux États-Unis et un institut de recherche au Mexique pour livrer son sparrowoor de porte dérobée et Shadowpad.

L’activité, observée en juillet 2024, marque la première fois que l’équipe de piratage a déployé Shadowpad, un logiciel malveillant largement partagé par des acteurs chinois parrainés par l’État.

“FamousSparrow a déployé deux versions précédemment sans papiers de la porte dérobée Sparrowdoor, l’une d’elles modulaires”, ESET dit Dans un rapport partagé avec le Hacker News. “Les deux versions constituent des progrès considérables par rapport aux précédents et implémentent la parallélisation des commandes.”

FamousSparrow a été documenté pour la première fois par la Slovak Cybersecurity Company en septembre 2021 dans le cadre d’une série de cyberattaques destinées aux hôtels, aux gouvernements, aux sociétés d’ingénierie et aux cabinets d’avocats avec Sparrowdoor, un implant exclusivement utilisé par le groupe.

Cybersécurité

Depuis lors, il y a eu des rapports sur les chevauchements tactiques du collectif adversaire avec des grappes suivis en œstries terrestres, Ghosttempeor et, plus particulièrement, le typhon de sel, qui a été attribué à des intrusions visant le secteur des télécommunications.

Cependant, ESET a noté qu’il traite le célèbre Sparrow comme un groupe de menaces distinct avec des liens lâches avec les œstries terrestres provenant de parallèles avec la foule et des hémifs.

La chaîne d’attaque implique l’acteur de menace qui déploie un shell Web sur un serveur de services d’information sur Internet (IIS), bien que le mécanisme précis utilisé pour y parvenir soit encore inconnu. Les deux victimes auraient exécuté des versions obsolètes de Windows Server et Microsoft Exchange Server.

Le shell Web agit comme un conduit pour supprimer un script de lot à partir d’un serveur distant, qui, à son tour, lance un shell Web codé de base de base64 intégré. Ce shell Web est finalement responsable du déploiement de Sparrowdoor et de ShadowPad.

ESET a déclaré que l’une des versions Sparrowdoor ressemble à Crowdoor, bien que les deux variantes présentent des améliorations significatives par rapport à leur prédécesseur. Cela inclut la possibilité d’exécuter simultanément des commandes longues, telles que les E / S de fichiers et le shell interactif, permettant ainsi à la porte dérobée de traiter les instructions entrantes pendant leur exécution.

Sparrowdoor Backdoor

“Lorsque la porte dérobée reçoit l’une de ces commandes, elle crée un fil qui initie une nouvelle connexion au serveur C&C”, a déclaré le chercheur en sécurité Alexandre Côté Cyr. “L’ID de victime unique est ensuite envoyé sur la nouvelle connexion avec un ID de commande indiquant la commande qui a conduit à cette nouvelle connexion.”

“Cela permet au serveur C&C de suivre les connexions liées à la même victime et à leurs objectifs. Chacun de ces threads peut alors gérer un ensemble spécifique de sous-communs.”

Sparrowdoor arbore une large gamme de commandes qui lui permettent de démarrer un proxy, de lancer des sessions de shell interactives, d’effectuer des opérations de fichiers, d’énumérer le système de fichiers, de recueillir des informations d’hôte et même de se désinstaller.

Cybersécurité

En revanche, la deuxième version de la porte dérobée est modulaire et nettement différente des autres artefacts, adoptant une approche basée sur un plugin pour réaliser ses objectifs. Il prend en charge jusqu’à neuf modules différents –

  • CMD – Exécutez une seule commande
  • CFILE – Effectuez les opérations du système de fichiers
  • CKEYLOGPLUG – Log FeyStroke
  • CSOCKET – Lancez un proxy TCP
  • CShell – Démarrez une session de coquille interactive
  • CTRANSF – Initier le transfert de fichiers entre l’hôte Windows compromis et le serveur C&C
  • CRDP – Prenez des captures d’écran
  • CPRO – Liste des processus en cours d’exécution et tuez des processus spécifiques
  • CFilemoniter – Modifications du système de fichiers Monitor pour les répertoires spécifiés

“Cette activité nouvellement trouvée indique que non seulement le groupe fonctionne toujours, mais qu’il développait également activement de nouvelles versions de Sparrowdoor pendant cette période”, a déclaré Eset.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57