一个被研究人员称为“FamousSparrow”的网络间谍组织利用自定义后门(被称为“SparrowDoor”)攻击了世界各地的酒店、政府和私人组织。据ESET称,这是今年早些时候针对ProxyLogon漏洞的高级持续威胁(APT)之一,尽管其活动直到最近才被曝光。
据该公司称,后门的恶意行为包括:重命名或删除文件;创建目录;关闭进程;发送文件属性、文件大小、文件写入时间等信息;提取指定文件的内容;将数据写入指定文件;或者建立一个交互式的反向shell。还有一个终止开关,用于从受害机器中删除持久性设置和所有SparrowDoor文件。
研究人员指出:“FamousSparrow将目标瞄准了世界各国政府,这一行为表明FamousSparrow正在从事间谍活动。”
ProxyLogon漏洞
ProxyLogon远程代码执行(RCE)漏洞于3月被披露,并在一系列攻击中被10多个APT组织用来通过shellcode建立对全球Exchange邮件服务器的访问。根据ESET遥测,FamousSparrow在微软发布该漏洞的补丁后的第二天就开始利用这些漏洞。
根据ESET的说法,在FamousSparrow的案例中,它利用该漏洞部署了SparrowDoor,这在其他攻击(其中许多针对酒店)中也出现过。研究人员指出,这些活动在ProxyLogon之前和之后都有发生,最早可以追溯到2019年8月。
在他们能够确定初始妥协向量的情况下,研究人员发现FamousSparrow的首选作案手法似乎是利用面向互联网的易受攻击的Web应用程序。
ESET研究人员表示:“我们认为FamousSparrow利用了Microsoft Exchange(包括2021年3月的ProxyLogon)、Microsoft SharePoint和Oracle Opera(酒店管理商业软件)中已知的远程代码执行漏洞,这些漏洞被用来投放各种恶意样本。”
他们补充说:“这再次提醒我们,快速修补面向互联网的应用程序至关重要,如果无法快速修补,那就不要将它们暴露在互联网上。”
SparrowDoor间谍工具
根据ESET周四发布的分析,一旦目标受到攻击,FamousSparrow就会使用一系列自定义工具感染受害者。这些包括:
- 用于横向运动的Mimikatz变体
- 一个将ProcDump放到磁盘上并使用它转储lsass进程的小实用程序,可能是为了收集内存中的机密,例如凭据
- Nbtscan,一种NetBIOS扫描器,用于识别LAN中的文件和打印机
- SparrowDoor后门的加载器
研究人员指出,加载程序通过DLL搜索顺序劫持来安装SparrowDoor。
他们解释说:“合法的可执行文件Indexer.exe需要库K7UI.dll才能运行。”“因此,操作系统按照制定的加载顺序在目录中查找DLL文件。由于存储Indexer.exe文件的目录在加载顺序中处于最高优先级,因此它容易受到DLL搜索顺序劫持。这正是恶意软件加载的方式。”
根据这篇文章,持久性是通过注册表运行键和一个使用二进制硬编码的XOR加密配置数据创建和启动的服务来设置的。然后,恶意软件在端口433上与命令和控制(C2)服务器建立加密的TLS连接,该服务器可以被代理,也可以不被代理。
然后,恶意软件通过调整SparrowDoor进程的访问token以启用SeDebugPrivilege,从而实现权限提升,SeDebugPrivilege是一种合法的Windows实用程序,用于调试自己以外的计算机上的进程。拥有SeDebugPrivilege的攻击者可以“调试System拥有的进程,在这一点上,他们可以将代码注入进程,并执行与net localgroup administrators anybody/add相当的逻辑操作,从而将自己(或其他任何人)提升为管理员。”
之后,SparrowDoor嗅出受害者的本地IP地址、与后门进程关联的远程桌面服务会话ID、用户名以及计算机名称,并将其发送给C2,并等待命令返回,以启动其间谍活动。
FamousSparrow主要针对酒店,但ESET也观察到了他们针对其他行业的目标,包括政府、国际组织、工程公司和律师事务所。该组织正在不断发展,它的攻击目标分散在全球范围内,包括巴西、布基纳法索、加拿大、以色列、法国、危地马拉、立陶宛、沙特阿拉伯、南非、台湾、泰国和英国。
本文翻译自:https://threatpost.com/famoussparrow-spy-hotels-governments/174948/如若转载,请注明原文地址。