Se ha observado un grupo de ciberespioning vinculado a China conocido como “Sparrow famoso” utilizando una nueva versión modular de su puerta de “Sparrowdoor” contra una organización comercial con sede en los Estados Unidos.
La actividad y la nueva versión del software malicioso fueron observados por los investigadores de seguridad de ESET, quienes encontraron evidencia de que el actor de amenaza era más activo de lo esperado originalmente ya que sus últimas operaciones fueron expuestas en 2022.
Además de la organización financiera, otros ataques de ESET recientes han descubierto y vinculado a Famousparow incluyen un instituto de investigación mexicano y una institución gubernamental en Honduras.
En todos estos casos, el acceso inicial se realizó a través de la operación de Microsoft Exchange y los puntos de terminación de servidor de Microsoft anticuados, infectándolos con WebShells.
.jpg)
Fuente: ESET
Nuevo gorrión modular
La investigación de ESET en realidad ha descubierto dos nuevas versiones de la puerta robada de Sparrowdoor.
El primero es similar a un micro tendencia de la puerta robada atribuida a “propiedades terrestres”, con una mejor calidad de código, arquitectura mejorada, configuración cifrada, mecanismos de persistencia y control de control y control furtivo (C2).
Una nueva funcionalidad clave que se aplica a las dos nuevas versiones es la ejecución de comandos paralelos, donde la puerta robada puede continuar escuchando las órdenes entrantes y procesarlas mientras ejecuta las anteriores.
“Las dos versiones de Sparrowdoor utilizadas en esta campaña constituyen un progreso considerable de la calidad y la arquitectura del código en comparación con el antiguo”, “,”, “,”, “,”, “,”, “,”, “,”, “,”. Lee el informe de ESET.
“El cambio más significativo es la paralelización de comandos largos, como los archivos de los archivos y el shell interactivo. Esto permite que la puerta robada continúe administrando nuevos comandos mientras se llevan a cabo estas tareas”.
La variante más reciente son las actualizaciones más importantes, porque es una puerta robada modular con una arquitectura basada en complementos.
Puede recibir nuevos complementos C2 en el momento de la ejecución, que están completamente cargados en la memoria, ampliando sus capacidades operativas mientras permanecen evasivos y sigilosos.
Las operaciones que admiten estos complementos incluyen:
- Acceso a la carcasa
- Manejo del sistema de archivos
- Llave
- Indicador
- Captura de captura de pantalla
- Transferencia de archivos
- Proceso de listas / matar
Conexión de shadowpad
Otro descubrimiento interesante en el informe de ESET es el uso de Shadowpad de Famoussrow, un caballo troyano (rata) con acceso versátil versátil asociado con varios APT chinos.
En los ataques observados por los investigadores, ShadowPad se cargó mediante la carga de DLL lateral utilizando un reconocido Microsoft IME, inyectado en el proceso de Windows Media (Wmplayer.exe) y conectado a un servidor C2 conocido asociado con la rata.
Esto indica que FamousParrow ahora podría tener acceso a herramientas cibernéticas chinas de alto nivel, como otros jugadores patrocinados por el estado.
ESET señala que Microsoft reúne a Famosssparrow, Ghosttempeor y Estria de la Tierra bajo un solo grupo de amenazas que llaman al Salphon of Salt.
Dada la falta de evidencia técnica en apoyo, ESET los sigue como grupos separados. Sin embargo, admite que hay similitudes de código en sus herramientas, técnicas operativas similares y reutilización de la infraestructura.
Eset explica estas superposiciones como signos de un proveedor de terceros compartido, alias un “distrito digital”, que se esconde y respalda a todos estos grupos de amenazas chinas.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.