Variantes de la porte dérobée SparrowDoor

Par Mezo en Menace persistante avancée (APT), Portes dérobées

Se traduisent par :

Le groupe de cyberespionnage chinois FamousSparrow a été impliqué dans de nouvelles attaques contre un groupe commercial américain et un institut de recherche mexicain, déployant sa célèbre porte dérobée SparrowDoor ainsi que le malware ShadowPad . Cette activité, observée en juillet 2024, marque la première utilisation par le groupe de ShadowPad, un outil fréquemment utilisé par les acteurs soutenus par l'État chinois.

Table des matières

L’évolution de SparrowDoor : une menace plus sophistiquée

FamousSparrow a lancé deux nouvelles variantes de sa porte dérobée SparrowDoor, dont l'une est modulaire. Ces versions représentent une avancée significative en termes de fonctionnalités, intégrant l'exécution parallèle de commandes pour une efficacité accrue.

Il s'agit d'une mise à niveau majeure par rapport aux versions précédentes. Elle permet au logiciel malveillant d'exécuter des commandes telles que des opérations sur des fichiers et des sessions shell interactives sans bloquer les tâches en cours.

Une histoire d’espionnage : les attaques notables de FamousSparrow

Initialement découvert en septembre 2021, FamousSparrow a été impliqué dans des cyberattaques contre des hôtels, des gouvernements, des sociétés d'ingénierie et des cabinets d'avocats. Le groupe opérait auparavant de manière indépendante, utilisant SparrowDoor comme implant exclusif.

Au fil du temps, les chercheurs ont observé des similitudes tactiques entre FamousSparrow et d'autres groupes de pirates chinois comme Earth Estries, GhostEmperor et Salt Typhoon , ce dernier étant connu pour cibler le secteur des télécommunications. Cependant, malgré ces similitudes, FamousSparrow reste considéré comme un groupe de menaces distinct, doté de caractéristiques uniques.

La chaîne d’attaque : comment la brèche s’est déroulée

L'attaque débute par le déploiement par FamousSparrow d'un shell web sur un serveur IIS vulnérable. Bien que la méthode exacte d'accès initial reste inconnue, les deux organisations touchées utilisaient des versions obsolètes de Windows et de Microsoft Exchange Server, ce qui en fait des cibles de choix.

Une fois le shell Web en place, il sert de rampe de lancement pour un script batch distant. Ce script exécute un shell Web .NET codé en Base64, déployant ainsi SparrowDoor et ShadowPad sur le système compromis.

Fonctionnement de SparrowDoor : un aperçu détaillé de ses fonctionnalités

L'une des nouvelles variantes de SparrowDoor présente des similitudes avec Crowdoor, un malware déjà documenté. Cependant, les deux versions apportent des améliorations substantielles, notamment :

Exécution de tâches parallèles – La porte dérobée peut exécuter plusieurs commandes à la fois, améliorant ainsi les performances.
Gestion des commandes dynamiques : les commandes déclenchent un nouveau thread, qui établit une connexion distincte avec le serveur de commande et de contrôle (C&C).
Suivi des victimes – Chaque connexion comprend un identifiant de victime et un identifiant de commande uniques, aidant le serveur C&C à gérer efficacement les tâches en cours.

SparrowDoor est doté de nombreuses fonctionnalités qui optimisent ses fonctionnalités. Il peut établir un proxy, autoriser les communications secrètes et initier des sessions shell interactives pour permettre l'exécution de commandes en temps réel. La porte dérobée est également capable de gérer diverses opérations sur les fichiers, notamment la lecture, l'écriture et la modification, tout en énumérant le système de fichiers pour cartographier les répertoires et les données disponibles. De plus, elle collecte des informations détaillées sur l'hôte, fournissant aux attaquants un aperçu du système compromis. Si nécessaire, SparrowDoor peut même se désinstaller complètement, garantissant ainsi l'effacement total de toute trace de sa présence.

Une approche modulaire : la version améliorée de SparrowDoor

La deuxième variante de SparrowDoor, plus avancée, introduit une conception modulaire basée sur des plugins, étendant ses capacités grâce à neuf modules spécialisés :

Cmd – Exécuter les commandes système
CFile – Gérer les opérations sur les fichiers
CKeylogPlug – Enregistrer les frappes au clavier
CSocket – Établir un proxy TCP
CShell – Lancer des sessions shell interactives
CTransf – Transférer des fichiers entre l'hôte infecté et le serveur C&C
CRdp – Capture d'écran
CPro – Lister et terminer les processus en cours d'exécution
CFileMoniter – Suivi des modifications du système de fichiers dans des répertoires spécifiques

FamousSparrow : toujours actif, toujours en évolution

Cette récente vague d'activité confirme que FamousSparrow est non seulement toujours actif, mais qu'il investit également dans le développement continu de sa porte dérobée SparrowDoor. Avec l'introduction de fonctionnalités modulaires et l'adoption de ShadowPad, le groupe évolue clairement, représentant une menace de cybersécurité encore plus importante à l'avenir.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Variantes de la porte dérobée SparrowDoor

L’évolution de SparrowDoor : une menace plus sophistiquée

Une histoire d’espionnage : les attaques notables de FamousSparrow

La chaîne d’attaque : comment la brèche s’est déroulée

Fonctionnement de SparrowDoor : un aperçu détaillé de ses fonctionnalités

Une approche modulaire : la version améliorée de SparrowDoor

FamousSparrow : toujours actif, toujours en évolution

Soumettre un Commentaire

Tendance

Behavior:Win64/Shaolaod.A Malware

Arnaque par e-mail sur un serveur Mail Cloud

Vulnérabilité CVE-2025-24201

Le plus regardé

Discord est bloqué sur un écran gris

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran