一个被研究人员称为“FamousSparrow”的网络间谍组织利用自定义后门(称为“SparrowDoor”)攻击世界各地的酒店、政府和私人组织。据ESET称,这是今年早些时候针对ProxyLogon漏洞的高级持续性威胁(APT)之一,尽管其活动直到最近才被曝光。据该公司介绍,该后门的恶意行为包括:重命名或删除文件;创建目录;结束流程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或者设置一个交互式反向shell。还有一个终止开关,可以从受害机器上删除持久设置和所有SparrowDoor文件。研究人员指出:“FamousSparrow将世界各地的政府作为目标表明FamousSparrow从事间谍活动。”ProxyLogon漏洞ProxyLogon远程代码执行(RCE)漏洞于3月披露,并被10多人用于一系列攻击。一个APT组,用于通过shellcode建立对全球Exchange邮件服务器的访问。根据ESET遥测,FamousSparrow在微软发布漏洞补丁后的第二天就开始利用这些漏洞。根据ESET的说法,在FamousSparrow的案例中,它利用该漏洞部署了SparrowDoor,该漏洞也出现在其他攻击中,其中许多攻击都是针对酒店的。研究人员指出,这些活动发生在ProxyLogon之前和之后,最早可以追溯到2019年8月。在他们能够确定初始妥协向量的地方,研究人员发现FamousSparrow的首选作案手法似乎是在利用易受攻击的面向互联网的Web应用程序.“我们认为FamousSparrow利用了MicrosoftExchange(包括2021年3月的ProxyLogon)、MicrosoftSharePoint和OracleOpera(用于酒店管理的商业软件)中已知的远程代码执行漏洞,这些漏洞被用来提供各种恶意样本。”他们补充说:“这再次提醒我们,快速修补面向互联网的应用程序至关重要,如果不能快速修补,就不要将它们暴露在互联网上。根据ESET周四发布的分析,一旦目标遭到破坏,FamousSparrow就会使用一系列自定义工具感染受害者。这些包括:一个用于横向移动的Mimikatz变体一个将ProcDump放到磁盘并使用它转储一个用于lsass进程的小实用程序,大概是为了收集内存中的秘密,例如凭据Nbtscan,一种NetBIOS扫描仪,可以识别LAN中的文件和打印机SparrowDoor后门的加载程序研究人员注意到加载程序通过DLL搜索顺序劫持来安装SparrowDoor。他们解释说:“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”因此,操作系统根据指定的加载顺序在目录中查找DLL文件。由于Indexer.exe文件所在的目录stored在加载顺序中具有最高优先级,它很容易受到DLL搜索顺序劫持。这正是恶意软件的加载方式。根据文章,持久性是通过注册表运行键设置的,并使用二进制hard创建和启动服务-codedXOR-encryptedconfigurationdata.然后恶意软件与端口433上的命令和控制(C2)服务器通信与服务器建立加密的TLS连接,可能会或可能不会被代理.然后恶意软件实现特权升级通过调整SparrowDoor进程的访问令牌以启用SeDebugPrivilege,这是一个合法的Windows实用程序,用于在其他计算机上调试进程。具有SeDebugPrivilege的攻击者可以“调试进程es由System拥有,此时他们可以将代码注入进程并执行相当于netlocalgroupadministratorsanyone/add的逻辑操作,从而将自己(或其他任何人)提升为管理员。之后,SparrowDoor嗅探出受害者的本地IP地址、远程桌面服务会话ID、用户名和与后门进程关联的计算机名称,将其发送到C2,并等待命令返回以开始其间谍活动。FamousSparrow主要针对酒店,但ESET也观察到他们针对其他行业,包括政府、国际组织、工程公司和律师事务所。该组织正在壮大,其目标遍布全球,包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。本文翻译自:https://threatpost.com/famoussparrow-spy-hotels-governments/174948/如有转载请注明出处。
