FamousSparrow 黑客组织升级 SparrowDoor 后门,利用模块化架构增强攻击能力据 ESET 安全研究人员披露,与中国相关的网络间谍组织 FamousSparrow 近期针对美国某贸易组织发动攻击,并使用升级版的 SparrowDoor 后门。新版本采用 模块化架构,可动态加载 C2 服务器下发的插件,并完全驻留于内存中,以提高隐蔽性和操作能力。
此次攻击主要通过利用 过时的 Microsoft Exchange 和 Windows Server 端点 进行初始入侵,植入 WebShell 以获取长期控制权限。ESET 发现,FamousSparrow 还在墨西哥某研究机构及洪都拉斯政府部门实施了类似攻击。
技术细节方面,SparrowDoor 新版本引入 并行指令执行 机制,使其能够在执行文件 I/O、交互式 Shell 等耗时操作的同时持续接收和处理新指令。此外,该后门支持 键盘记录、代理通信、截图捕获、文件传输、进程管理 等功能,大幅增强攻击效率。
ESET 还发现 FamousSparrow 在本次行动中使用了与多个中国 APT 组织相关的 ShadowPad 远程访问木马,并通过 DLL 侧加载技术(利用被重命名的 Microsoft Office IME 可执行文件)注入 Windows Media Player 进程,实现隐蔽持久化访问。这表明 FamousSparrow 可能获得了更高级别的中国黑客工具,与其他国家支持的网络攻击团体共享部分基础设施。
来源:
BleepingComputer 
