O ator de ameaças chinês conhecido como FamousSparrow foi associado a um ataque cibernético que teve como alvo um grupo comercial nos Estados Unidos e um instituto de pesquisa no México para entregar seu backdoor principal, SparrowDoor, e ShadowPad.
A atividade, observada em julho de 2024, marca a primeira vez que a equipe de hackers implantou o ShadowPad, um malware amplamente compartilhado por atores patrocinados pelo estado chinês.
"O FamousSparrow implantou duas versões anteriormente não documentadas do backdoor SparrowDoor, sendo uma delas modular", disse a ESET em um relatório compartilhado.
Ambas as versões constituem um progresso considerável em relação às anteriores e implementam a paralelização de comandos. O FamousSparrow foi documentado pela primeira vez pela empresa eslovaca de cibersegurança em setembro de 2021, em conexão com uma série de ataques cibernéticos direcionados a hotéis, governos, empresas de engenharia e escritórios de advocacia com o SparrowDoor, um implante exclusivamente usado pelo grupo.
Desde então, houve relatos de sobreposições táticas do coletivo adversário com grupos rastreados como Earth Estries, GhostEmperor e, mais notavelmente, Salt Typhoon, que foi atribuído a invasões direcionadas ao setor de telecomunicações.
No entanto, a ESET observou que está tratando o FamousSparrow como um grupo de ameaça distinto com alguns vínculos soltos com o Earth Estries, decorrentes de paralelos com Crowdoor e HemiGate.
A cadeia de ataque envolve o ator de ameaça implantando um web shell em um servidor Internet Information Services (IIS), embora o mecanismo exato usado para alcançar isso ainda seja desconhecido.
Diz-se que ambas as vítimas estavam executando versões desatualizadas do Windows Server e do Microsoft Exchange Server.
O web shell atua como um conduto para soltar um script em lote de um servidor remoto, que, por sua vez, lança um web shell .NET codificado em Base64 embutido nele.
Esse web shell é, finalmente, responsável por implantar o SparrowDoor e o ShadowPad.
A ESET disse que uma das versões do SparrowDoor se assemelha ao Crowdoor, embora ambas as variantes apresentem melhorias significativas em relação ao seu predecessor.
Isso inclui a capacidade de executar comandos demorados simultaneamente, como operações de entrada/saída de arquivos e o shell interativo, permitindo assim que o backdoor processe instruções de entrada enquanto estão sendo executadas.
"Quando o backdoor recebe um desses comandos, cria um thread que inicia uma nova conexão com o servidor C&C", disse o pesquisador de segurança Alexandre Côté Cyr.
A ID única da vítima é então enviada pela nova conexão junto com um ID de comando indicando o comando que levou a essa nova conexão.
Isso permite que o servidor C&C mantenha o controle de quais conexões estão relacionadas à mesma vítima e quais são os seus propósitos.
Cada um desses threads pode então lidar com um conjunto específico de subcomandos. SparrowDoor possui uma ampla gama de comandos que permitem iniciar um proxy, lançar sessões de shell interativo, realizar operações de arquivo, enumerar o sistema de arquivos, coletar informações do host e até mesmo se desinstalar.
Em contraste, a segunda versão do backdoor é modular e marcadamente diferente de outros artefatos, adotando uma abordagem baseada em plugins para realizar seus objetivos.
Ele suporta até nove módulos diferentes:
- Cmd
- Executar um único comando CFile
- Realizar operações no sistema de arquivos CKeylogPlug - Registrar as teclas digitadas CSocket
- Iniciar um proxy TCP CShell
- Iniciar uma sessão de shell interativo CTransf
- Iniciar a transferência de arquivos entre o host Windows comprometido e o servidor C&C CRdp
- Tirar capturas de tela CPro
- Listar processos em execução e matar processos específicos CFileMoniter
- Monitorar alterações no sistema de arquivos para diretórios especificados
"Esta atividade recém-descoberta indica que não apenas o grupo ainda está operando, mas também estava ativamente desenvolvendo novas versões do SparrowDoor durante esse tempo", disse a ESET.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...