Aktor ancaman Cina yang dikenal sebagai FamousSparrow telah dikaitkan dengan serangan dunia maya yang menargetkan kelompok perdagangan di Amerika Serikat dan lembaga penelitian di Meksiko untuk memberikan sparrowdoor dan Shadowpad andalan andalannya.
Kegiatan, yang diamati pada Juli 2024, menandai pertama kalinya kru peretasan telah menggunakan Shadowpad, sebuah malware yang dibagikan secara luas oleh aktor-aktor yang disponsori negara Tiongkok.
“FamousSparrow mengerahkan dua versi sparrowdoor sparrowdoor yang sebelumnya tidak berdokumen, salah satunya modular,” kata Eset dalam sebuah laporan yang dibagikan dengan The Hacker News. “Kedua versi merupakan kemajuan yang cukup besar dibandingkan yang sebelumnya dan menerapkan paralelisasi perintah.”
FamousSparrow pertama kali didokumentasikan oleh Slovak Cybersecurity Company pada September 2021 sehubungan dengan serangkaian serangan dunia maya yang ditujukan untuk hotel, pemerintah, perusahaan teknik, dan firma hukum dengan Sparrowdoor, implan secara eksklusif digunakan oleh grup.
Sejak itu, ada laporan tentang tumpang tindih taktis kolektif yang bermusuhan dengan kelompok yang dilacak sebagai estri bumi, Ghostemperor, dan terutama, topan garam, yang telah dikaitkan dengan intrusi yang ditujukan pada sektor telekomunikasi.
Namun, ESET mencatat bahwa itu memperlakukan FamousSparrow sebagai kelompok ancaman yang berbeda dengan beberapa hubungan longgar dengan estri Bumi yang berasal dari paralel dengan Crowdoor dan Hemigate.
Rantai serangan melibatkan aktor ancaman yang menggunakan shell web pada server Internet Information Services (IIS), meskipun mekanisme yang tepat yang digunakan untuk mencapai hal ini belum diketahui. Kedua korban dikatakan telah menjalankan versi yang sudah ketinggalan zaman dari Windows Server dan Microsoft Exchange Server.
Shell web bertindak sebagai saluran untuk menjatuhkan skrip batch dari server jarak jauh, yang, pada gilirannya, meluncurkan. NET Web Shell yang dikodekan Base64 yang tertanam di dalamnya. Shell web ini pada akhirnya bertanggung jawab untuk menggunakan Sparrowdoor dan Shadowpad.
ESET mengatakan salah satu versi sparrowdoor menyerupai Crowdoor, meskipun kedua varian ini memiliki peningkatan yang signifikan atas pendahulunya. Ini termasuk kemampuan untuk secara bersamaan menjalankan perintah yang memakan waktu, seperti file I/O dan shell interaktif, sehingga memungkinkan pintu belakang untuk memproses instruksi yang masuk saat sedang dijalankan.
“Ketika backdoor menerima salah satu perintah ini, itu membuat utas yang memulai koneksi baru ke server C&C,” kata peneliti keamanan Alexandre Côté Cyr. “ID korban yang unik kemudian dikirim melalui koneksi baru bersama dengan ID perintah yang menunjukkan perintah yang mengarah ke koneksi baru ini.”
“Ini memungkinkan server C&C untuk melacak koneksi mana yang terkait dengan korban yang sama dan apa tujuan mereka. Masing-masing utas ini kemudian dapat menangani serangkaian sub-komando tertentu.”
Sparrowdoor menampilkan berbagai perintah yang memungkinkannya memulai proxy, meluncurkan sesi shell interaktif, melakukan operasi file, menyebutkan sistem file, mengumpulkan informasi host, dan bahkan menghapus instalan dengan sendirinya.
Sebaliknya, versi kedua dari backdoor adalah modular dan sangat berbeda dari artefak lainnya, mengadopsi pendekatan berbasis plugin untuk mewujudkan tujuannya. Ini mendukung sebanyak sembilan modul yang berbeda –
- CMD – Jalankan satu perintah
- CFILE – Lakukan Operasi Sistem File
- CKeyLogPlug – Penekanan tombol log
- CSOCKET – Luncurkan Proxy TCP
- Cshell – Mulai sesi shell interaktif
- CTRANSF – Inisiasi transfer file antara host Windows yang dikompromikan dan server C&C
- CRDP – Ambil tangkapan layar
- CPRO – Daftar proses berjalan dan bunuh yang spesifik
- CFilemoniter – Perubahan sistem file monitor untuk direktori tertentu
“Kegiatan yang baru ditemukan ini menunjukkan bahwa tidak hanya kelompok yang masih beroperasi, tetapi juga secara aktif mengembangkan versi baru Sparrowdoor selama ini,” kata Eset.
