Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Variantes de la puerta trasera de SparrowDoor

Variantes de la puerta trasera de SparrowDoor

Por Mezo en Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:
Español

El grupo chino de ciberespionaje conocido como FamousSparrow ha sido vinculado a nuevos ataques contra un grupo comercial estadounidense y un instituto de investigación mexicano, implementando su infame puerta trasera SparrowDoor junto con el malware ShadowPad . Esta actividad, observada en julio de 2024, marca la primera vez que el grupo utiliza ShadowPad, una herramienta frecuentemente utilizada por actores patrocinados por el estado chino.

La evolución de SparrowDoor: una amenaza más sofisticada

FamousSparrow ha presentado dos nuevas variantes de su puerta trasera SparrowDoor, una de ellas modular. Estas versiones representan un avance significativo en funcionalidad, incorporando la ejecución paralela de comandos para mejorar la eficiencia.

Esto supone una mejora importante con respecto a versiones anteriores. Permite que el malware ejecute comandos como operaciones con archivos y sesiones de shell interactivas sin interrumpir las tareas en curso.

Una historia de espionaje: Los ataques notables de FamousSparrow

Descubierto inicialmente en septiembre de 2021, FamousSparrow ha sido vinculado a ciberataques contra hoteles, gobiernos, empresas de ingeniería y despachos de abogados. Anteriormente, el grupo operaba de forma independiente, utilizando SparrowDoor como su implante exclusivo.

Con el tiempo, los investigadores han observado similitudes tácticas entre FamousSparrow y otros grupos de hackers chinos como Earth Estries, GhostEmperor y Salt Typhoon , este último conocido por atacar al sector de las telecomunicaciones. Sin embargo, a pesar de estas coincidencias, FamousSparrow sigue clasificado como un grupo de amenaza distinto con características únicas.

La cadena de ataque: cómo se desarrolló la brecha

El ataque comienza con FamousSparrow implementando un shell web en un servidor IIS vulnerable. Si bien se desconoce el método exacto para obtener acceso inicial, ambas organizaciones afectadas utilizaban versiones obsoletas de Windows y Microsoft Exchange Server, lo que las convertía en objetivos prioritarios.

Una vez instalado el shell web, sirve como plataforma de lanzamiento para un script remoto por lotes. Este script ejecuta un shell web .NET codificado en Base64, implementando SparrowDoor y ShadowPad en el sistema comprometido.

Cómo funciona SparrowDoor: Un análisis profundo de sus capacidades

Una de las nuevas variantes de SparrowDoor comparte similitudes con Crowdoor, un malware previamente documentado. Sin embargo, ambas versiones introducen mejoras sustanciales, entre ellas:

  • Ejecución de tareas en paralelo : la puerta trasera puede ejecutar varios comandos a la vez, lo que mejora el rendimiento.
  • Manejo dinámico de comandos : los comandos activan un nuevo hilo, que establece una conexión separada con el servidor de comando y control (C&C).
  • Seguimiento de víctimas : cada conexión incluye un ID de víctima y un ID de comando únicos, lo que ayuda al servidor C&C a administrar las tareas en curso de manera eficiente.

SparrowDoor incorpora diversas capacidades que mejoran su funcionalidad. Puede establecer un proxy, permitir la comunicación encubierta e iniciar sesiones de shell interactivas para la ejecución de comandos en tiempo real. La puerta trasera también puede gestionar diversas operaciones con archivos, como leer, escribir y modificar archivos, a la vez que enumera el sistema de archivos para mapear los directorios y datos disponibles. Además, recopila información detallada del host, lo que proporciona a los atacantes información sobre el sistema comprometido. Si es necesario, SparrowDoor puede incluso eliminarse por completo, garantizando la eliminación de cualquier rastro de su presencia.

Un enfoque modular: la versión mejorada de SparrowDoor

La segunda variante, más avanzada, de SparrowDoor presenta un diseño modular basado en complementos, ampliando sus capacidades a través de nueve módulos especializados:

  • Cmd – Ejecutar comandos del sistema
  • CFile – Administrar operaciones con archivos
  • CKeylogPlug – Registra las pulsaciones de teclas
  • CSocket – Establecer un proxy TCP
  • CShell – Iniciar sesiones de shell interactivas
  • CTransf – Transferir archivos entre el host infectado y el servidor C&C
  • CRdp – Capturar capturas de pantalla
  • CPro – Listar y finalizar procesos en ejecución
  • CFileMoniter: rastrea los cambios del sistema de archivos en directorios específicos

FamousSparrow: Sigue activo, sigue evolucionando

Esta reciente ola de actividad confirma que FamousSparrow no solo sigue activo, sino que también invierte en el desarrollo continuo de su backdoor SparrowDoor. Con la introducción de capacidades modulares y la adopción de ShadowPad, el grupo está evolucionando claramente, lo que representa una amenaza de ciberseguridad aún mayor en el futuro.

Tendencias

Estafas de correo electrónico de Mail Cloud Server

Suplantación de identidad (phishing), Correo basura
Internet está lleno de estrategias engañosas diseñadas para explotar a usuarios desprevenidos, por lo que es fundamental ser precavido al navegar y gestionar correos electrónicos. Los ataques de phishing, como la estafa de correo electrónico de Mail Cloud Server, se encuentran entre las amenazas más comunes y utilizan tácticas de ingeniería social para robar información confidencial. Al...

Mas Visto

Cargando...