被研究人员称为“FamousSparrow”网络间谍组织使用自定义后门(称为“SparrowDoor”)全世界各地攻击酒店、政府和私人组织。ESET称这是今年早些时候的目标ProxyLogon高级漏洞的持续威胁(APT)之一,尽管其活动直到最近才被曝光。
据公司介绍,后门的恶意行为包括:重命名或删除文件;创建目录;关闭过程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或建立交互反向shell。还有一个终止开关,用于从受害机器中删除持久性设置和所有SparrowDoor文件。
研究人员指出:“FamousSparrow针对世界各国政府的行为表明FamousSparrow从事间谍活动。”
ProxyLogon漏洞
ProxyLogon执行远程代码(RCE)3月份披露了漏洞,并在一系列攻击中被披露了10多个APT组织用于通过shellcode建立对全球Exchange根据邮件服务器的访问。ESET遥测,FamousSparrow这些漏洞在微软发布补丁后的第二天就开始使用了。
根据ESET的说法,在FamousSparrow在这种情况下,它利用漏洞部署SparrowDoor,这也出现在其他攻击(其中许多是针对酒店的)中。研究人员指出,这些活动是在ProxyLogon之前和之后都发生了,可以追溯到2019年8月。
研究人员发现,当他们能够确定初始妥协的向量时,FamousSparrow首选的犯罪方法似乎是利用互联网的易受攻击Web应用程序。
ESET研究人员说:“我们认为FamousSparrow利用了Microsoft Exchange(包括2021年3月ProxyLogon)、Microsoft SharePoint和Oracle Opera已知的远程代码执行漏洞(酒店管理商业软件)用于投放各种恶意样本。”
他们补充说:“这再次提醒我们,快速修复面向互联网的应用程序非常重要。如果不能快速修复,就不要暴露在互联网上。”
SparrowDoor间谍工具
根据ESET一旦目标受到攻击,周四发布的分析,FamousSparrow使用一系列自定义工具感染受害者。这些包括:
- 横向运动Mimikatz变体
- 一个将ProcDump把它放在磁盘上,用它lsass过程中的小实用程序可能是收集内存中的机密,如凭证
- Nbtscan,一种NetBIOS用于识别的扫描仪LAN文件和打印机
- SparrowDoor后门加载器
研究人员指出,加载程序是通过的DLL劫持搜索顺序安装SparrowDoor。
他们解释说:“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”“因此,操作系统按照制定的加载顺序在目录中搜索DLL文件。因为存储Indexer.exe文件目录在加载顺序中处于最高优先级,因此容易受到影响DLL劫持搜索顺序。这是恶意软件加载的方式。”
根据这篇文章,持久性是通过注册表运行键和一个使用二进制硬编码的XOR设置加密配置数据创建和启动服务。然后,恶意软件在端口433上命令和控制(C2)加密服务器TLS该服务器可以代理,也可以不代理。
然后通过调整恶意软件SparrowDoor进程的访问token以启用SeDebugPrivilege,从而实现权限提升,SeDebugPrivilege是合法的Windows实用程序计算机以外的过程的实用程序。SeDebugPrivilege攻击者可以“调试System在这一点上,他们可以将代码注入过程并执行和执行net localgroup administrators anybody/add相当的逻辑操作,从而将自己(或其他任何人)提升为管理员。”
之后,SparrowDoor嗅出受害者的地方IP远程桌面服务关的远程桌面服务会话地址ID、并发送给用户名和计算机名称C2,并等待命令返回,以启动其间谍活动。
FamousSparrow主要针对酒店,但是ESET他们还观察到了其他行业的目标,包括政府、国际组织、工程公司和律师事务所。该组织正在发展,包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。
本文翻译自:https://threatpost.com/famoussparrow-spy-hotels-governments/174948/如果转载,请注明原始地址。