FamousSparrow APT 组织再现，功能增强

ESET 调查了美国一个从事金融行业的组织网络上的可疑活动。在帮助受影响实体修复入侵时，他们在受害者的系统中意外发现一个 APT 组织 FamousSparrow 的恶意工具。该组织被认为是不活跃的，因为自 2022 年以来，FamousSparrow 没有公开记录任何活动。

FamousSparrow 是一个网络间谍组织，至少自 2019 年以来一直活跃。ESET Research 于 2021 年首次公开记录了该组织，当时它观察到该组织利用了ProxyLogon 漏洞。

该组织最初以针对全球酒店而闻名，后来又针对政府、国际组织、工程公司和律师事务所。FamousSparrow 是 SparrowDoor 后门的唯一已知用户。

调查显示，FamousSparrow 不仅在此期间仍然活跃，而且还一定在开发其工具集，因为被入侵的网络暴露了不仅一个，而是两个之前未记录的 SparrowDoor 版本（FamousSparrow 的旗舰后门）。

研究人员发现该组织在 2022-2024 年期间还开展了其他活动，包括针对洪都拉斯的一家政府机构。此外，他们还发现，作为此次活动的一部分，威胁组织在美国遭入侵前几天成功入侵墨西哥的一家研究机构——这两家机构均在 2024 年 6 月底遭到入侵。

SparrowDoor 的两个版本都比早期版本有了显著的进步，尤其是在代码质量和架构方面，并且其中一个版本实现了命令的并行化。

“虽然这些新版本有重大升级，但它们仍然可以直接追溯到早期公开记录的版本。这些攻击中使用的加载器还与之前归因于 FamousSparrow 的样本存在大量代码重叠。”发现该漏洞的 ESET 研究员表示。

FamousSparrow 在 IIS 服务器上部署了一个 Web Shell，以获取对受影响网络的初始访问权限。虽然 ESET 无法确定部署 Web Shell 的具体漏洞，但两个受害者都运行着 Windows Server 和 Microsoft Exchange 的旧版本，这些版本有多个公开可用的漏洞。

威胁组织使用了自定义工具和恶意软件的组合，最终的有效载荷是后门 SparrowDoor 和 ShadowPad。其中包括能够运行命令、文件系统操作、键盘记录、传输文件、列出和终止进程、监视文件系统更改以及截取屏幕截图的插件。

技术报告：

https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/

新闻链接：

https://www.helpnetsecurity.com/2025/03/26/famoussparrow-cyberespionage-attacks-united-states/