一个被研究人员称为“FamousSparrow”的网络间谍组织利用自定义后门（被称为“SparrowDoor”）攻击了世界各地的酒店、政府和私人组织。据ESET称，这是今年早些时候针对ProxyLogon漏洞的高级持续威胁（APT）之一，尽管其活动直到最近才被曝光。

　　据该公司称，后门的恶意行为包括：重命名或删除文件；创建目录；关闭进程；发送文件属性、文件大小、文件写入时间等信息；提取指定文件的内容；将数据写入指定文件；或者建立一个交互式的反向shell。还有一个终止开关，用于从受害机器中删除持久性设置和所有SparrowDoor文件。

　　研究人员指出：“FamousSparrow将目标瞄准了世界各国政府，这一行为表明FamousSparrow正在从事间谍活动。”

　　ProxyLogon漏洞

　　ProxyLogon远程代码执行（RCE）漏洞于3月被披露，并在一系列攻击中被10多个APT组织用来通过shellcode建立对全球Exchange邮件服务器的访问。根据ESET遥测，FamousSparrow在微软发布该漏洞的补丁后的第二天就开始利用这些漏洞。

　　根据ESET的说法，在FamousSparrow的案例中，它利用该漏洞部署了SparrowDoor，这在其他攻击（其中许多针对酒店）中也出现过。研究人员指出，这些活动在ProxyLogon之前和之后都有发生，最早可以追溯到2019年8月。

　　在他们能够确定初始妥协向量的情况下，研究人员发现FamousSparrow的首选作案手法似乎是利用面向互联网的易受攻击的Web应用程序。

　　ESET研究人员表示：“我们认为FamousSparrow利用了Microsoft Exchange（包括2021年3月的ProxyLogon）、Microsoft SharePoint和Oracle Opera（酒店管理商业软件）中已知的远程代码执行漏洞，这些漏洞被用来投放各种恶意样本。”

　　他们补充说：“这再次提醒我们，快速修补面向互联网的应用程序至关重要，如果无法快速修补，那就不要将它们暴露在互联网上。”

　　SparrowDoor间谍工具

　　根据ESET周四发布的分析，一旦目标受到攻击，FamousSparrow就会使用一系列自定义工具感染受害者。这些包括：

　　· 用于横向运动的Mimikatz变体

　　· 一个将ProcDump放到磁盘上并使用它转储lsass进程的小实用程序，可能是为了收集内存中的机密，例如凭据

　　· Nbtscan，一种NetBIOS扫描器，用于识别LAN中的文件和打印机

　　· SparrowDoor后门的加载器

　　研究人员指出，加载程序通过DLL搜索顺序劫持来安装SparrowDoor。

　　他们解释说：“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”“因此，操作系统按照制定的加载顺序在目录中查找DLL文件。由于存储Indexer.exe文件的目录在加载顺序中处于最高优先级，因此它容易受到DLL搜索顺序劫持。这正是恶意软件加载的方式。”

　　根据这篇文章，持久性是通过注册表运行键和一个使用二进制硬编码的XOR加密配置数据创建和启动的服务来设置的。然后，恶意软件在端口433上与命令和控制（C2）服务器建立加密的TLS连接，该服务器可以被代理，也可以不被代理。

　　然后，恶意软件通过调整SparrowDoor进程的访问token以启用SeDebugPrivilege，从而实现权限提升，SeDebugPrivilege是一种合法的Windows实用程序，用于调试自己以外的计算机上的进程。拥有SeDebugPrivilege的攻击者可以“调试System拥有的进程，在这一点上，他们可以将代码注入进程，并执行与net localgroup administrators anybody/add相当的逻辑操作，从而将自己（或其他任何人）提升为管理员。”

　　之后，SparrowDoor嗅出受害者的本地IP地址、与后门进程关联的远程桌面服务会话ID、用户名以及计算机名称，并将其发送给C2，并等待命令返回，以启动其间谍活动。

　　FamousSparrow主要针对酒店，但ESET也观察到了他们针对其他行业的目标，包括政府、国际组织、工程公司和律师事务所。该组织正在不断发展，它的攻击目标分散在全球范围内，包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。