متغيرات جديدة لعلاج العصفور الخلفي وجدت في هجمات على المنظمات الأمريكية والمكسيكية
ممثل التهديد الصيني المعروف باسم مشهور تم ربطه بالهجوم السيبراني الذي يستهدف مجموعة تجارية في الولايات المتحدة ومعهد الأبحاث في المكسيك لتقديم عصفورها الرائد و Shadowpad.
يمثل النشاط ، الذي لوحظ في يوليو 2024 ، المرة الأولى التي ينشر فيها طاقم القرصنة Shadowpad ، وهو برامج ضارة على نطاق واسع من قبل الممثلين الذين ترعاه الدولة الصينية.
“نشرت مشاهير sparrow نسختين غير موثقين سابقا من بورودرور الخلفي ، واحد منهما وحدات ،” ESET قال في تقرير مشاركته مع أخبار المتسلل. “يشكل كلا الإصدارين تقدمًا كبيرًا على تلك السابقة وتنفيذ موازاة الأوامر.”
تم توثيق شركة FairSparrow لأول مرة من قبل شركة Slovak Cybersecurity Company في سبتمبر 2021 فيما يتعلق بسلسلة من الهجمات الإلكترونية التي تهدف إلى الفنادق والحكومات والشركات الهندسية وشركات المحاماة مع Sparrowdoor ، وهي زرع تستخدمها المجموعة بشكل حصري.
منذ ذلك الحين ، كانت هناك تقارير عن التداخل التكتيكي للجماعة العدائية مع مجموعات تتبعها كبيريز الأرض ، و Ghostemperor ، وأبرزها ، Salt Typhoon ، الذي يعزى إلى التدخلات التي تستهدف قطاع الاتصالات.
ومع ذلك ، لاحظت ESET أنها تعامل FairSparrow كمجموعة تهديد متميزة مع بعض الروابط الفضفاضة إلى Earth Estries الناجمة عن أوجه التشابه مع Crowdoor و hemigate.
تتضمن سلسلة الهجوم ممثل التهديد الذي ينشر قذيفة ويب على خادم خدمات معلومات الإنترنت (IIS) ، على الرغم من أن الآلية الدقيقة المستخدمة لتحقيق ذلك غير معروفة حتى الآن. يقال إن كلا الضحيتين قاما بتشغيل إصدارات عفا عليها الزمن من Windows Server و Microsoft Exchange Server.
تعمل قشرة الويب كقناة لإسقاط برنامج نصي من الدُفعات من خادم بعيد ، والتي بدورها تطلق قذيفة .NET Web التي تم ترميزها BASE64. هذه القشرة على شبكة الإنترنت هي المسؤولة في نهاية المطاف عن نشر Sparrowdoor و Shadowpad.
وقال ESET إن أحد إصدارات sparrowdoor يشبه Crowdoor ، على الرغم من أن كلا المتغيرات يتميزان بتحسينات كبيرة على سابقتها. يتضمن ذلك القدرة على تنفيذ الأوامر المستهلكة للوقت في وقت واحد ، مثل ملف I/O File والقشرة التفاعلية ، وبالتالي السماح للورق الخلفي بمعالجة التعليمات الواردة أثناء تشغيلها.
وقال ألكساندر كير كير الباحث الأمني: “عندما يتلقى الباب الخلفي أحد هذه الأوامر ، فإنه ينشئ مؤشر ترابط يبدأ اتصالًا جديدًا بخادم C&C”. “يتم إرسال معرف الضحية الفريد بعد ذلك عبر الاتصال الجديد إلى جانب معرف الأمر الذي يشير إلى الأمر الذي أدى إلى هذا الاتصال الجديد.”
“هذا يسمح لخادم C&C بتتبع الاتصالات المرتبطة بنفس الضحية وما هي أغراضها. يمكن لكل من هذه الخيوط بعد ذلك التعامل مع مجموعة محددة من الأفراد الفرعي.”
Sparrowdoor Sports مجموعة واسعة من الأوامر التي تسمح لها ببدء الوكيل ، وإطلاق جلسات Shell التفاعلية ، وإجراء عمليات الملفات ، وتعداد نظام الملفات ، وجمع معلومات المضيف ، وحتى إلغاء التثبيت.
على النقيض من ذلك ، فإن الإصدار الثاني من الباب الخلفي هو معياري ومختلف بشكل ملحوظ عن القطع الأثرية الأخرى ، واعتماد نهج قائم على البرنامج المساعد لتحقيق أهدافه. وهو يدعم ما يصل إلى تسع وحدات مختلفة –
- CMD – قم بتشغيل أمر واحد
- CFILE – تنفيذ عمليات نظام الملفات
- Ckeylogplug – سجلات المفاتيح السجل
- Csocket – إطلاق وكيل TCP
- CSHELL – ابدأ جلسة Shell التفاعلية
- Ctransf – بدء نقل الملفات بين مضيف Windows المعرض للخطر وخادم C&C
- CRDP – خذ لقطات الشاشة
- CPRO – قائمة التشغيل العمليات وقتل عمليات محددة
- cfilemoniter – تغييرات نظام ملفات مراقبة الدلائل المحددة
وقال إيسيت: “يشير هذا النشاط الذي تم العثور عليه حديثًا إلى أن المجموعة لا تزال تعمل فحسب ، بل كانت تقوم أيضًا بتطوير إصدارات جديدة من Sparrowdoor خلال هذا الوقت”.
إرسال التعليق