SparrowDoor

SparrowDoorは、FamousSparrowとして追跡される新たに発見されたAPT（Advanced Persistent Threat）グループによって使用される主な脅威です。ハッカーは、データを吸い上げることを目的として、世界中のホテルを標的にしているようです。別の機会に、FamousSparrowはエンジニアリング会社、法律事務所、政府機関も侵害しました。

SparrowDoorの展開

SparrowDoorバックドアは、DLLハイジャックを採用したローダーを介して被害者のマシンに配信されます。ローダーは、正規のK＆Computing実行可能ファイル（Indexer.exe）、破損したDLLファイル（K7UI.dll）、および暗号化されたシェルコード（MpSvc.dll）の3つの要素を使用します。 3つすべてが％PROGRAMDATA％\ Software \フォルダーにドロップされます。

永続性を確立するために、SparrowDoorはレジストリ実行キーと、マルウェアのバイナリにハードコードされた構成データを使用して作成および起動されたサービスに依存しています。その後、プロセスのアクセストークンを調整することにより、特権をエスカレートしようとします。最後のステップには、システムデータをコマンドアンドコントロール（C2、C＆C）サーバーに送信し、着信コマンドを待つことが含まれます。

機能を脅かす

SparrowDoorは10以上の異なるコマンドを認識します。侵入先のマシン上のファイルシステムを操作して、ファイルの作成、名前の変更、削除を行うことができます。また、ファイル情報（ファイル属性、ファイルサイズ、ファイル書き込み時間）や指定されたファイルの内容など、さまざまなデータをサーバーに盗み出します。マルウェアは現在のプロセスを終了し、インタラクティブなリバースシェルを確立できます。ハッカーがトレースをマスクする必要がある場合は、SparrowDoorに永続性メカニズムを削除してファイルを削除するように指示できます。