Um grupo de ciberespionagem ligado à China, conhecido como 'FamousSparrow', foi observado utilizando uma nova versão modular do seu backdoor característico 'SparrowDoor' contra uma organização comercial sediada nos EUA.
A atividade e a nova versão do malware foram observadas por pesquisadores de segurança da ESET, que encontraram evidências de que o ator de ameaça tem sido mais ativo do que inicialmente pensado desde que suas últimas operações foram expostas em 2022.
Além da organização financeira, outros ataques recentes descobertos e ligados ao FamousSparrow incluem um instituto de pesquisa mexicano e uma instituição governamental em Honduras.
Em todos esses casos, o acesso inicial foi obtido por meio da exploração de endpoints desatualizados do Microsoft Exchange e Windows Server, infectando-os com webshells.
A investigação da ESET na verdade descobriu duas novas versões do backdoor SparrowDoor.
A primeira é semelhante a um backdoor que a Trend Micro atribuiu ao 'Earth Estries', apresentando melhor qualidade de código, arquitetura aprimorada, configuração criptografada, mecanismos de persistência e troca de comando-e-controle (C2) furtiva.
Uma nova funcionalidade importante que se aplica a ambas as novas versões é a execução de comandos em paralelo, onde o backdoor pode continuar ouvindo comandos de entrada e processando-os enquanto executa os anteriores.
"Ambas as versões do SparrowDoor usadas nesta campanha constituem avanços consideráveis em qualidade de código e arquitetura comparadas às anteriores," lê-se no relatório da ESET.
A mudança mais significativa é a parallelização de comandos que consomem tempo, como I/O de arquivos e o shell interativo.
Isso permite que o backdoor continue manipulando novos comandos enquanto essas tarefas são executadas.
A variante mais recente constitui as atualizações mais significativas, pois é um backdoor modular apresentando uma arquitetura baseada em plugins.
Ele pode receber novos plugins do C2 em tempo de execução, que são carregados inteiramente na memória, expandindo suas capacidades operacionais enquanto permanece evasivo e furtivo.
As operações que estes plugins suportam incluem:
Acesso ao shell
Manipulação do sistema de arquivos
Keylogging
Proxying
Captura de screenshots
Transferência de arquivos
Listagem/terminação de processos
Outra descoberta interessante no relatório da ESET é o uso do ShadowPad pelo FamousSparrow, um trojan de acesso remoto modular (RAT) versátil associado a diversos APTs chineses.
Nos ataques observados pelos pesquisadores, o ShadowPad foi carregado via DLL side-loading usando um executável do Microsoft Office IME renomeado, injetado no processo do Windows media player (wmplayer.exe), e conectado a um servidor C2 conhecido associado ao RAT.
Isso indica que o FamousSparrow pode agora ter acesso a ferramentas cibernéticas de alto nível chinesas, como outros atores patrocinados pelo estado.
A ESET observa que a Microsoft agrupa o FamousSparrow, o GhostEmperor e o Earth Estries sob um cluster de ameaças que eles chamam de Salt Typhoon.
Dada a falta de evidências técnicas para apoiar isso, a ESET os rastreia como grupos distintos.
No entanto, admite que há semelhanças de código em suas ferramentas, técnicas de exploração similares e algum reúso de infraestrutura.
A ESET explica essas sobreposições como sinais de um fornecedor terceirizado compartilhado, também conhecido como um "quartel-mestre digital", que se esconde por trás e dá suporte a todos esses grupos de ameaças chineses.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...