MoineauPorte

SparrowDoor est la principale menace utilisée par un groupe APT (Advanced Persistent Threat) récemment découvert et suivi sous le nom de FamousSparrow . Les pirates semblent cibler des hôtels du monde entier avec l'intention de siphonner des données. À différentes occasions, FamousSparrow a également compromis des sociétés d'ingénierie, des cabinets d'avocats et des organisations gouvernementales.

Le déploiement de SparrowDoor

La porte dérobée SparrowDoor est livrée à la machine de la victime via un chargeur utilisant le détournement de DLL. Le chargeur utilise trois éléments - un fichier exécutable K& Computing légitime (Indexer.exe), un fichier DLL corrompu (K7UI.dll) et un shellcode crypté (MpSvc.dll). Tous les trois sont déposés dans le dossier %PROGRAMDATA%\Software\.

Pour établir la persistance, SparrowDoor s'appuie sur une clé Registry Run et sur un service créé et lancé à l'aide des données de configuration codées en dur dans le binaire du malware. Ensuite, il tente d'élever ses privilèges en ajustant le jeton d'accès de son processus. La dernière étape comprend l'envoi des données système au serveur Command-and-Control (C2, C&C), puis l'attente des commandes entrantes.

Fonctionnalité menaçante

SparrowDoor reconnaît plus de 10 commandes différentes. Il peut manipuler le système de fichiers sur la machine compromise - créer, renommer et supprimer des fichiers. Il peut également exfiltrer diverses données vers le serveur, y compris les informations de fichier (attributs de fichier, taille de fichier et temps d'écriture de fichier) et le contenu des fichiers spécifiés. Le malware peut mettre fin aux processus en cours et établir un shell inverse interactif. Si les pirates ont besoin de masquer leurs traces, ils peuvent demander à SparrowDoor de supprimer son mécanisme de persistance et de supprimer ses fichiers.