kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> APT团伙FamousSparrow开始监视酒店和政府部门

APT团伙FamousSparrow开始监视酒店和政府部门

2021-09-28
来源:嘶吼专业版
关键词: APT 酒店 政府

  一个被研究人员称为“FamousSparrow”的网络间谍组织利用自定义后门(被称为“SparrowDoor”)攻击了世界各地的酒店政府和私人组织。据ESET称,这是今年早些时候针对ProxyLogon漏洞的高级持续威胁(APT)之一,尽管其活动直到最近才被曝光。

  据该公司称,后门的恶意行为包括:重命名或删除文件;创建目录;关闭进程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或者建立一个交互式的反向shell。还有一个终止开关,用于从受害机器中删除持久性设置和所有SparrowDoor文件。

  研究人员指出:“FamousSparrow将目标瞄准了世界各国政府,这一行为表明FamousSparrow正在从事间谍活动。”

  ProxyLogon漏洞

  ProxyLogon远程代码执行(RCE)漏洞于3月被披露,并在一系列攻击中被10多个APT组织用来通过shellcode建立对全球Exchange邮件服务器的访问。根据ESET遥测,FamousSparrow在微软发布该漏洞的补丁后的第二天就开始利用这些漏洞。

  根据ESET的说法,在FamousSparrow的案例中,它利用该漏洞部署了SparrowDoor,这在其他攻击(其中许多针对酒店)中也出现过。研究人员指出,这些活动在ProxyLogon之前和之后都有发生,最早可以追溯到2019年8月。

  在他们能够确定初始妥协向量的情况下,研究人员发现FamousSparrow的首选作案手法似乎是利用面向互联网的易受攻击的Web应用程序。

  ESET研究人员表示:“我们认为FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商业软件)中已知的远程代码执行漏洞,这些漏洞被用来投放各种恶意样本。”

  他们补充说:“这再次提醒我们,快速修补面向互联网的应用程序至关重要,如果无法快速修补,那就不要将它们暴露在互联网上。”

  SparrowDoor间谍工具

  根据ESET周四发布的分析,一旦目标受到攻击,FamousSparrow就会使用一系列自定义工具感染受害者。这些包括:

  · 用于横向运动的Mimikatz变体

  · 一个将ProcDump放到磁盘上并使用它转储lsass进程的小实用程序,可能是为了收集内存中的机密,例如凭据

  · Nbtscan,一种NetBIOS扫描器,用于识别LAN中的文件和打印机

  · SparrowDoor后门的加载器

  研究人员指出,加载程序通过DLL搜索顺序劫持来安装SparrowDoor。

  他们解释说:“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”“因此,操作系统按照制定的加载顺序在目录中查找DLL文件。由于存储Indexer.exe文件的目录在加载顺序中处于最高优先级,因此它容易受到DLL搜索顺序劫持。这正是恶意软件加载的方式。”

  根据这篇文章,持久性是通过注册表运行键和一个使用二进制硬编码的XOR加密配置数据创建和启动的服务来设置的。然后,恶意软件在端口433上与命令和控制(C2)服务器建立加密的TLS连接,该服务器可以被代理,也可以不被代理。

  然后,恶意软件通过调整SparrowDoor进程的访问token以启用SeDebugPrivilege,从而实现权限提升,SeDebugPrivilege是一种合法的Windows实用程序,用于调试自己以外的计算机上的进程。拥有SeDebugPrivilege的攻击者可以“调试System拥有的进程,在这一点上,他们可以将代码注入进程,并执行与net localgroup administrators anybody/add相当的逻辑操作,从而将自己(或其他任何人)提升为管理员。”

  之后,SparrowDoor嗅出受害者的本地IP地址、与后门进程关联的远程桌面服务会话ID、用户名以及计算机名称,并将其发送给C2,并等待命令返回,以启动其间谍活动。

  FamousSparrow主要针对酒店,但ESET也观察到了他们针对其他行业的目标,包括政府、国际组织、工程公司和律师事务所。该组织正在不断发展,它的攻击目标分散在全球范围内,包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。




本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map