[[426362]]

一個(gè)被研究人員稱為“FamousSparrow”的網(wǎng)絡(luò)間諜組織利用自定義后門(被稱為“SparrowDoor”)攻擊了世界各地的酒店、政府和私人組織。據(jù)ESET稱，這是今年早些時(shí)候針對ProxyLogon漏洞的高級持續(xù)威脅(APT)之一，盡管其活動直到最近才被曝光。

據(jù)該公司稱，后門的惡意行為包括：重命名或刪除文件;創(chuàng)建目錄;關(guān)閉進(jìn)程;發(fā)送文件屬性、文件大小、文件寫入時(shí)間等信息;提取指定文件的內(nèi)容;將數(shù)據(jù)寫入指定文件;或者建立一個(gè)交互式的反向shell。還有一個(gè)終止開關(guān)，用于從受害機(jī)器中刪除持久性設(shè)置和所有SparrowDoor文件。

研究人員指出：“FamousSparrow將目標(biāo)瞄準(zhǔn)了世界各國政府，這一行為表明FamousSparrow正在從事間諜活動。”

ProxyLogon漏洞

ProxyLogon遠(yuǎn)程代碼執(zhí)行(RCE)漏洞于3月被披露，并在一系列攻擊中被10多個(gè)APT組織用來通過shellcode建立對全球Exchange郵件服務(wù)器的訪問。根據(jù)ESET遙測，F(xiàn)amousSparrow在微軟發(fā)布該漏洞的補(bǔ)丁后的第二天就開始利用這些漏洞。

根據(jù)ESET的說法，在FamousSparrow的案例中，它利用該漏洞部署了SparrowDoor，這在其他攻擊(其中許多針對酒店)中也出現(xiàn)過。研究人員指出，這些活動在ProxyLogon之前和之后都有發(fā)生，最早可以追溯到2019年8月。

在他們能夠確定初始妥協(xié)向量的情況下，研究人員發(fā)現(xiàn)FamousSparrow的首選作案手法似乎是利用面向互聯(lián)網(wǎng)的易受攻擊的Web應(yīng)用程序。

ESET研究人員表示：“我們認(rèn)為FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商業(yè)軟件)中已知的遠(yuǎn)程代碼執(zhí)行漏洞，這些漏洞被用來投放各種惡意樣本。”

他們補(bǔ)充說：“這再次提醒我們，快速修補(bǔ)面向互聯(lián)網(wǎng)的應(yīng)用程序至關(guān)重要，如果無法快速修補(bǔ)，那就不要將它們暴露在互聯(lián)網(wǎng)上。”

SparrowDoor間諜工具

根據(jù)ESET周四發(fā)布的分析，一旦目標(biāo)受到攻擊，F(xiàn)amousSparrow就會使用一系列自定義工具感染受害者。這些包括：

•  用于橫向運(yùn)動的Mimikatz變體
•  一個(gè)將ProcDump放到磁盤上并使用它轉(zhuǎn)儲lsass進(jìn)程的小實(shí)用程序，可能是為了收集內(nèi)存中的機(jī)密，例如憑據(jù)
•  Nbtscan，一種NetBIOS掃描器，用于識別LAN中的文件和打印機(jī)
• SparrowDoor后門的加載器

研究人員指出，加載程序通過DLL搜索順序劫持來安裝SparrowDoor。

他們解釋說：“合法的可執(zhí)行文件Indexer.exe需要庫K7UI.dll才能運(yùn)行。”“因此，操作系統(tǒng)按照制定的加載順序在目錄中查找DLL文件。由于存儲Indexer.exe文件的目錄在加載順序中處于最高優(yōu)先級，因此它容易受到DLL搜索順序劫持。這正是惡意軟件加載的方式。”

根據(jù)這篇文章，持久性是通過注冊表運(yùn)行鍵和一個(gè)使用二進(jìn)制硬編碼的XOR加密配置數(shù)據(jù)創(chuàng)建和啟動的服務(wù)來設(shè)置的。然后，惡意軟件在端口433上與命令和控制(C2)服務(wù)器建立加密的TLS連接，該服務(wù)器可以被代理，也可以不被代理。

然后，惡意軟件通過調(diào)整SparrowDoor進(jìn)程的訪問token以啟用SeDebugPrivilege，從而實(shí)現(xiàn)權(quán)限提升，SeDebugPrivilege是一種合法的Windows實(shí)用程序，用于調(diào)試自己以外的計(jì)算機(jī)上的進(jìn)程。擁有SeDebugPrivilege的攻擊者可以“調(diào)試System擁有的進(jìn)程，在這一點(diǎn)上，他們可以將代碼注入進(jìn)程，并執(zhí)行與net localgroup administrators anybody/add相當(dāng)?shù)倪壿嫴僮鳎瑥亩鴮⒆约?或其他任何人)提升為管理員。”

之后，SparrowDoor嗅出受害者的本地IP地址、與后門進(jìn)程關(guān)聯(lián)的遠(yuǎn)程桌面服務(wù)會話ID、用戶名以及計(jì)算機(jī)名稱，并將其發(fā)送給C2，并等待命令返回，以啟動其間諜活動。

FamousSparrow主要針對酒店，但ESET也觀察到了他們針對其他行業(yè)的目標(biāo)，包括政府、國際組織、工程公司和律師事務(wù)所。該組織正在不斷發(fā)展，它的攻擊目標(biāo)分散在全球范圍內(nèi)，包括巴西、布基納法索、加拿大、以色列、法國、危地馬拉、立陶宛、沙特阿拉伯、南非、臺灣、泰國和英國。

本文翻譯自：https://threatpost.com/famoussparrow-spy-hotels-governments/174948/如若轉(zhuǎn)載，請注明原文地址。