导 读
ESET 调查了美国一个从事金融行业的组织网络上的可疑活动。在帮助受影响实体修复入侵时,他们在受害者的系统中意外发现一个 APT 组织 FamousSparrow 的恶意工具。该组织被认为是不活跃的,因为自 2022 年以来,FamousSparrow 没有公开记录任何活动。
FamousSparrow 是一个网络间谍组织,至少自 2019 年以来一直活跃。ESET Research 于 2021 年首次公开记录了该组织,当时它观察到该组织利用了ProxyLogon 漏洞。
该组织最初以针对全球酒店而闻名,后来又针对政府、国际组织、工程公司和律师事务所。FamousSparrow 是 SparrowDoor 后门的唯一已知用户。
调查显示,FamousSparrow 不仅在此期间仍然活跃,而且还一定在开发其工具集,因为被入侵的网络暴露了不仅一个,而是两个之前未记录的 SparrowDoor 版本(FamousSparrow 的旗舰后门)。
研究人员发现该组织在 2022-2024 年期间还开展了其他活动,包括针对洪都拉斯的一家政府机构。此外,他们还发现,作为此次活动的一部分,威胁组织在美国遭入侵前几天成功入侵墨西哥的一家研究机构——这两家机构均在 2024 年 6 月底遭到入侵。
SparrowDoor 的两个版本都比早期版本有了显著的进步,尤其是在代码质量和架构方面,并且其中一个版本实现了命令的并行化。
“虽然这些新版本有重大升级,但它们仍然可以直接追溯到早期公开记录的版本。这些攻击中使用的加载器还与之前归因于 FamousSparrow 的样本存在大量代码重叠。”发现该漏洞的 ESET 研究员表示。
FamousSparrow 在 IIS 服务器上部署了一个 Web Shell,以获取对受影响网络的初始访问权限。虽然 ESET 无法确定部署 Web Shell 的具体漏洞,但两个受害者都运行着 Windows Server 和 Microsoft Exchange 的旧版本,这些版本有多个公开可用的漏洞。
威胁组织使用了自定义工具和恶意软件的组合,最终的有效载荷是后门 SparrowDoor 和 ShadowPad。其中包括能够运行命令、文件系统操作、键盘记录、传输文件、列出和终止进程、监视文件系统更改以及截取屏幕截图的插件。
技术报告:
https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/
新闻链接:
https://www.helpnetsecurity.com/2025/03/26/famoussparrow-cyberespionage-attacks-united-states/
原文始发于微信公众号(军哥网络安全读报):FamousSparrow APT 组织再现,功能增强
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论