SCCMHound: جمعآورنده اطلاعات از Microsoft Configuration Manager برای BloodHoundZig Strike: کیت ابزار نهایی برای ساخت پیلود و دور زدن دفاعهای امنیتیابزار gocheck: شناسایی دقیق بایتهای مخرب در فایلهای اجراییآسیبپذیری بحرانی در ابزار needrestart: CVE-2024-48990ابزار Carseat پیادهسازی پایتون از Seatbelt برای تحلیل امنیتی ویندوزآسیبپذیریهای بحرانی در TeamViewer: CVE-2024-7479 و CVE-2024-7481بهرهبرداری از آسیبپذیری CUPS با ابزار Cupshaxاجرای کد در فرآیندهای محافظتشده ویندوز با PPLrevenant
در جدیدترین تحقیقات امنیتی منتشر شده توسط شرکت ESET، نسخههای پیشرفتهای از دربپشتی SparrowDoor که توسط گروه مهاجم چینی «FamousSparrow» توسعه داده شده، کشف شد. این گروه با سابقهای فعال در جاسوسی سایبری، سازمانهایی در ایالات متحده و مکزیک را با استفاده از این بدافزار هدف قرار داده است.
بررسیها نشان میدهد این حملات در ژوئیه ۲۰۲۴ رخ دادهاند. مهاجمان از آسیبپذیریهای موجود در Windows Server و Microsoft Exchange Server استفاده کرده و موفق به اجرای اسکریپتهای مخرب و استقرار بدافزارها شدهاند.
آپلود وبشل روی سرور IIS.
اجرای اسکریپت دستهای از طریق راه دور.
بارگذاری وبشل رمزگذاریشده با Base64.
نصب بدافزارهای SparrowDoor و ShadowPad.
بدافزار SparrowDoor در دو نسخهی متفاوت دیده شده است:
این نسخه امکاناتی همچون اجرای همزمان دستورات، عملیات روی فایلها و اجرای شل تعاملی را داراست.
این نسخه از ساختاری افزونهای بهره میبرد و شامل ۹ ماژول زیر است:
| نام ماژول | عملکرد |
|---|---|
| Cmd | اجرای دستورات سیستم |
| CFile | عملیات روی فایلها |
| CKeylogPlug | ثبت کلیدهای فشردهشده |
| CSocket | راهاندازی پراکسی TCP |
| CShell | اجرای شل تعاملی |
| CTransf | انتقال فایل بین قربانی و سرور فرماندهی |
| CRdp | گرفتن اسکرینشات |
| CPro | نمایش و خاتمهی فرآیندها |
| CFileMoniter | نظارت بر تغییرات فایلها |
در کنار SparrowDoor، مهاجمان از یک نسخه جدید از بدافزار ShadowPad نیز استفاده کردند. این بدافزار نیز ساختاری ماژولار داشته و در حملات قبلی توسط گروههای APT مختلف مورد استفاده قرار گرفته است.
با اینکه شباهتهایی بین گروه FamousSparrow و گروههای تهدیداتی مانند Earth Estries، GhostEmperor و APT41 وجود دارد، اما ESET آن را یک تهدید مستقل میداند.
برای محافظت از سازمان خود در برابر این نوع تهدیدها، اقدامات زیر توصیه میشود:
بهروزرسانی کامل و فوری سیستمعاملها و سرورهای Exchange.
بررسی لاگهای شبکه برای تشخیص رفتارهای غیرعادی.
استفاده از راهکارهای امنیتی برای شناسایی وبشلها و دربپشتیها.
ایزوله کردن سیستمهای مشکوک و انجام بررسیهای دیجیتال فورنزیک.
کشف نسخههای جدید بدافزار SparrowDoor زنگ خطری جدی برای زیرساختهای حیاتی در سراسر جهان است. گروههای مهاجم با تکیه بر ابزارهای پیچیده و تکنیکهای پیشرفته، امنیت سایبری سازمانها را به چالش کشیدهاند. آگاهی و آمادگی مستمر، اولین قدم در مقابله با این تهدیدات است.
دیدگاهتان را بنویسید