FamousSparrow APT 组织再现,功能增强

admin 2025年3月27日10:40:53评论13 views字数 1196阅读3分59秒阅读模式

导 

ESET 调查了美国一个从事金融行业的组织网络上的可疑活动。在帮助受影响实体修复入侵时,他们在受害者的系统中意外发现一个 APT 组织 FamousSparrow 的恶意工具。该组织被认为是不活跃的,因为自 2022 年以来,FamousSparrow 没有公开记录任何活动。

FamousSparrow APT 组织再现,功能增强

FamousSparrow 是一个网络间谍组织,至少自 2019 年以来一直活跃。ESET Research 于 2021 年首次公开记录了该组织,当时它观察到该组织利用了ProxyLogon 漏洞。

该组织最初以针对全球酒店而闻名,后来又针对政府、国际组织、工程公司和律师事务所。FamousSparrow 是 SparrowDoor 后门的唯一已知用户。

调查显示,FamousSparrow 不仅在此期间仍然活跃,而且还一定在开发其工具集,因为被入侵的网络暴露了不仅一个,而是两个之前未记录的 SparrowDoor 版本(FamousSparrow 的旗舰后门)。

研究人员发现该组织在 2022-2024 年期间还开展了其他活动,包括针对洪都拉斯的一家政府机构。此外,他们还发现,作为此次活动的一部分,威胁组织在美国遭入侵前几天成功入侵墨西哥的一家研究机构——这两家机构均在 2024 年 6 月底遭到入侵。

SparrowDoor 的两个版本都比早期版本有了显著的进步,尤其是在代码质量和架构方面,并且其中一个版本实现了命令的并行化。

“虽然这些新版本有重大升级,但它们仍然可以直接追溯到早期公开记录的版本。这些攻击中使用的加载器还与之前归因于 FamousSparrow 的样本存在大量代码重叠。”发现该漏洞的 ESET 研究员表示。

FamousSparrow 在 IIS 服务器上部署了一个 Web Shell,以获取对受影响网络的初始访问权限。虽然 ESET 无法确定部署 Web Shell 的具体漏洞,但两个受害者都运行着 Windows Server 和 Microsoft Exchange 的旧版本,这些版本有多个公开可用的漏洞。

威胁组织使用了自定义工具和恶意软件的组合,最终的有效载荷是后门 SparrowDoor 和 ShadowPad。其中包括能够运行命令、文件系统操作、键盘记录、传输文件、列出和终止进程、监视文件系统更改以及截取屏幕截图的插件。

技术报告:

https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/

新闻链接:

https://www.helpnetsecurity.com/2025/03/26/famoussparrow-cyberespionage-attacks-united-states/

FamousSparrow APT 组织再现,功能增强

原文始发于微信公众号(军哥网络安全读报):FamousSparrow APT 组织再现,功能增强

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月27日10:40:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   FamousSparrow APT 组织再现,功能增强https://cn-sec.com/archives/3889385.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息