Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
https://www.secnews.gr/644551/hackers-famoussparrow-dianemoun-sparrowdoor-shadowpad-backdoor/
Mar 27th 2025, 12:51
by Digital Fortress
Οι Κινέζοι hackers FamousSparrow συνδέθηκαν με κυβερνοεπιθέσεις εναντίον ενός οργανισμού στις Ηνωμένες Πολιτείες και ενός ερευνητικού ινστιτούτου στο Μεξικό, με στόχο τη διανομή των backdoor SparrowDoor και ShadowPad.
Η κακόβουλη δραστηριότητα, που παρατηρήθηκε τον Ιούλιο του 2024, φέρεται να ήταν και η πρώτη φορά που η ομάδα ανέπτυξε το ShadowPad, ένα κακόβουλο λογισμικό που χρησιμοποιείται από διάφορες κινεζικές ομάδες.
Επιπλέον, σύμφωνα με τους ερευνητές της ESET, οι Κινέζοι hackers FamousSparrow ανέπτυξαν δύο μη γνωστές εκδόσεις του backdoor SparrowDoor (μια από αυτές είναι modular). Οι δύο αυτές εκδόσεις του κακόβουλου λογισμικού φαίνεται να είναι πιο εξελιγμένες για να επιτρέπουν πιο αποτελεσματικές επιθέσεις.
Δείτε επίσης: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Η ομάδα FamousSparrow τεκμηριώθηκε για πρώτη φορά από την εταιρεία κυβερνοασφάλειας ESET τον Σεπτέμβριο του 2021. Η ομάδα είχε συνδεθεί με μια σειρά επιθέσεων που στόχευαν ξενοδοχεία, κυβερνήσεις, εταιρείες μηχανικών και δικηγορικά γραφεία. Στις επιθέσεις, χρησιμοποιούνταν το backdoor SparrowDoor (χρησιμοποιείται αποκλειστικά από την ομάδα).
Αν και έχουν υπάρξει αναφορές για ομοιότητες των hackers FamousSparrow με άλλες ομάδες (όπως Earth Estries, GhostEmperor και, Salt Typhoon), η ESET αντιμετωπίζει την FamousSparrow ως μια ξεχωριστή ομάδα με μερικούς χαλαρούς δεσμούς με την Earth Estries.
Πώς επιτίθενται οι Κινέζοι hackers FamousSparrow;
Οι επιτιθέμενοι αναπτύσσουν ένα web shell σε έναν Internet Information Services (IIS) server, αν και δεν γνωρίζουμε πώς ακριβώς το κάνουν αυτό. Και τα δύο θύματα (σε ΗΠΑ και Μεξικό) λέγεται ότι εκτελούσαν παλιές εκδόσεις του Windows Server και του Microsoft Exchange Server.
Το web shell λειτουργεί ως αγωγός για την παράδοση ενός batch script από έναν απομακρυσμένο διακομιστή. Αυτό με τη σειρά του, εκκινεί ένα Base64-encoded .NET web shell που είναι ενσωματωμένο σε αυτό. Αυτό το web shell είναι που αναπτύσσει τα backdoor SparrowDoor και ShadowPad.
Η ESET είπε ότι μία από τις εκδόσεις του SparrowDoor μοιάζει με το Crowdoor, αλλά και οι δύο εκδόσεις έχουν σημαντικές βελτιώσεις σε σχέση με τον προκάτοχό τους (π.χ. δυνατότητα ταυτόχρονης εκτέλεσης χρονοβόρων εντολών, κάτι που επιτρέπει στο backdoor να επεξεργάζεται τις εισερχόμενες εντολές ενώ εκτελούνται).
Δείτε επίσης: Η Lotus Panda στοχεύει κυβερνήσεις με το backdoor Sagerunex
"Όταν το backdoor λαμβάνει μία από αυτές τις εντολές, δημιουργεί ένα thread που ξεκινά μια νέα σύνδεση με τον διακομιστή C&C", δήλωσε ο ερευνητής ασφαλείας Alexandre Côté Cyr. "Το μοναδικό αναγνωριστικό θύματος αποστέλλεται στη συνέχεια μέσω της νέας σύνδεσης, μαζί με ένα αναγνωριστικό εντολής που υποδεικνύει την εντολή που οδήγησε σε αυτήν τη νέα σύνδεση".
Με αυτόν τον τρόπο, ο διακομιστής C&C παρακολουθεί ποιες συνδέσεις σχετίζονται με το ίδιο θύμα και ποιοι είναι οι σκοποί τους.
Το SparrowDoor backdoor, που χρησιμοποιούν οι Κινέζοι hackers FamousSparrow, διαθέτει ένα ευρύ φάσμα εντολών που του επιτρέπουν να ενεργοποιήσει έναν proxy, να εκκινήσει interactive shell sessions, να εκτελέσει λειτουργίες αρχείων, να ελέγξει το σύστημα αρχείων, να συλλέξει πληροφορίες κεντρικού υπολογιστή και ακόμη και να απεγκαταστήσει τον εαυτό του.
Αντίθετα, η δεύτερη έκδοση του backdoor είναι modular, υιοθετώντας μια προσέγγιση που βασίζεται σε plugin για την υλοποίηση των στόχων της. Υποστηρίζει έως και εννέα διαφορετικά modules:
• Cmd – Εκτέλεση μίας μόνο εντολής
• CFile – Εκτέλεση file system operations
• CKeylogPlug – Καταγραφή πληκτρολογήσεων
• CSocket – Εκκίνηση ενός TCP proxy
• CShell – Εκκίνηση interactive shell session
• CTransf – Εκκίνηση μεταφοράς αρχείων μεταξύ του παραβιασμένου κεντρικού υπολογιστή των Windows και του διακομιστή C&C
• CRdp – Λήψη στιγμιότυπων οθόνης
• CPro – Καταγραφή διεργασιών που εκτελούνται και διακοπή μερικών διεργασιών
• CFileMoniter – Παρακολούθηση αλλαγών του συστήματος αρχείων για καθορισμένους καταλόγους
Προστασία από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από backdoors, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: Ιρανοί χάκερ στοχεύουν τον αεροπορικό τομέα των Η.Α.Ε. με το Golang backdoor
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers FamousSparrow διανέμουν τα SparrowDoor & ShadowPad backdoor
https://www.secnews.gr/644551/hackers-famoussparrow-dianemoun-sparrowdoor-shadowpad-backdoor/
Mar 27th 2025, 12:51
by Digital Fortress
Οι Κινέζοι hackers FamousSparrow συνδέθηκαν με κυβερνοεπιθέσεις εναντίον ενός οργανισμού στις Ηνωμένες Πολιτείες και ενός ερευνητικού ινστιτούτου στο Μεξικό, με στόχο τη διανομή των backdoor SparrowDoor και ShadowPad.
Η κακόβουλη δραστηριότητα, που παρατηρήθηκε τον Ιούλιο του 2024, φέρεται να ήταν και η πρώτη φορά που η ομάδα ανέπτυξε το ShadowPad, ένα κακόβουλο λογισμικό που χρησιμοποιείται από διάφορες κινεζικές ομάδες.
Επιπλέον, σύμφωνα με τους ερευνητές της ESET, οι Κινέζοι hackers FamousSparrow ανέπτυξαν δύο μη γνωστές εκδόσεις του backdoor SparrowDoor (μια από αυτές είναι modular). Οι δύο αυτές εκδόσεις του κακόβουλου λογισμικού φαίνεται να είναι πιο εξελιγμένες για να επιτρέπουν πιο αποτελεσματικές επιθέσεις.
Δείτε επίσης: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Η ομάδα FamousSparrow τεκμηριώθηκε για πρώτη φορά από την εταιρεία κυβερνοασφάλειας ESET τον Σεπτέμβριο του 2021. Η ομάδα είχε συνδεθεί με μια σειρά επιθέσεων που στόχευαν ξενοδοχεία, κυβερνήσεις, εταιρείες μηχανικών και δικηγορικά γραφεία. Στις επιθέσεις, χρησιμοποιούνταν το backdoor SparrowDoor (χρησιμοποιείται αποκλειστικά από την ομάδα).
Αν και έχουν υπάρξει αναφορές για ομοιότητες των hackers FamousSparrow με άλλες ομάδες (όπως Earth Estries, GhostEmperor και, Salt Typhoon), η ESET αντιμετωπίζει την FamousSparrow ως μια ξεχωριστή ομάδα με μερικούς χαλαρούς δεσμούς με την Earth Estries.
Πώς επιτίθενται οι Κινέζοι hackers FamousSparrow;
Οι επιτιθέμενοι αναπτύσσουν ένα web shell σε έναν Internet Information Services (IIS) server, αν και δεν γνωρίζουμε πώς ακριβώς το κάνουν αυτό. Και τα δύο θύματα (σε ΗΠΑ και Μεξικό) λέγεται ότι εκτελούσαν παλιές εκδόσεις του Windows Server και του Microsoft Exchange Server.
Το web shell λειτουργεί ως αγωγός για την παράδοση ενός batch script από έναν απομακρυσμένο διακομιστή. Αυτό με τη σειρά του, εκκινεί ένα Base64-encoded .NET web shell που είναι ενσωματωμένο σε αυτό. Αυτό το web shell είναι που αναπτύσσει τα backdoor SparrowDoor και ShadowPad.
Η ESET είπε ότι μία από τις εκδόσεις του SparrowDoor μοιάζει με το Crowdoor, αλλά και οι δύο εκδόσεις έχουν σημαντικές βελτιώσεις σε σχέση με τον προκάτοχό τους (π.χ. δυνατότητα ταυτόχρονης εκτέλεσης χρονοβόρων εντολών, κάτι που επιτρέπει στο backdoor να επεξεργάζεται τις εισερχόμενες εντολές ενώ εκτελούνται).
Δείτε επίσης: Η Lotus Panda στοχεύει κυβερνήσεις με το backdoor Sagerunex
"Όταν το backdoor λαμβάνει μία από αυτές τις εντολές, δημιουργεί ένα thread που ξεκινά μια νέα σύνδεση με τον διακομιστή C&C", δήλωσε ο ερευνητής ασφαλείας Alexandre Côté Cyr. "Το μοναδικό αναγνωριστικό θύματος αποστέλλεται στη συνέχεια μέσω της νέας σύνδεσης, μαζί με ένα αναγνωριστικό εντολής που υποδεικνύει την εντολή που οδήγησε σε αυτήν τη νέα σύνδεση".
Με αυτόν τον τρόπο, ο διακομιστής C&C παρακολουθεί ποιες συνδέσεις σχετίζονται με το ίδιο θύμα και ποιοι είναι οι σκοποί τους.
Το SparrowDoor backdoor, που χρησιμοποιούν οι Κινέζοι hackers FamousSparrow, διαθέτει ένα ευρύ φάσμα εντολών που του επιτρέπουν να ενεργοποιήσει έναν proxy, να εκκινήσει interactive shell sessions, να εκτελέσει λειτουργίες αρχείων, να ελέγξει το σύστημα αρχείων, να συλλέξει πληροφορίες κεντρικού υπολογιστή και ακόμη και να απεγκαταστήσει τον εαυτό του.
Αντίθετα, η δεύτερη έκδοση του backdoor είναι modular, υιοθετώντας μια προσέγγιση που βασίζεται σε plugin για την υλοποίηση των στόχων της. Υποστηρίζει έως και εννέα διαφορετικά modules:
• Cmd – Εκτέλεση μίας μόνο εντολής
• CFile – Εκτέλεση file system operations
• CKeylogPlug – Καταγραφή πληκτρολογήσεων
• CSocket – Εκκίνηση ενός TCP proxy
• CShell – Εκκίνηση interactive shell session
• CTransf – Εκκίνηση μεταφοράς αρχείων μεταξύ του παραβιασμένου κεντρικού υπολογιστή των Windows και του διακομιστή C&C
• CRdp – Λήψη στιγμιότυπων οθόνης
• CPro – Καταγραφή διεργασιών που εκτελούνται και διακοπή μερικών διεργασιών
• CFileMoniter – Παρακολούθηση αλλαγών του συστήματος αρχείων για καθορισμένους καταλόγους
Προστασία από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από backdoors, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: Ιρανοί χάκερ στοχεύουν τον αεροπορικό τομέα των Η.Α.Ε. με το Golang backdoor
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια