SparrowDoor バックドアの亜種
FamousSparrowとして知られる中国のサイバースパイ集団が、米国の貿易団体とメキシコの研究機関に対する新たな攻撃に関与していることが判明しており、同集団はShadowPadマルウェアとともに悪名高いSparrowDoorバックドアを展開している。2024年7月に観測されたこの活動は、同集団が中国政府支援の攻撃者が頻繁に使用するツールであるShadowPadを活用した初めての事例である。
目次
SparrowDoor の進化: より洗練された脅威
FamousSparrow は、SparrowDoor バックドアの新しい亜種を 2 つ導入しました。そのうちの 1 つはモジュール式です。これらのバージョンは機能面で大きな飛躍を遂げており、コマンドの並列実行を組み込んで効率性を高めています。
これは以前のバージョンからの大幅なアップグレードです。これにより、マルウェアは進行中のタスクを停止させることなく、ファイル操作や対話型シェル セッションなどのコマンドを実行できるようになります。
スパイ活動の歴史: FamousSparrow の注目すべき攻撃
2021年9月に初めて発見されたFamousSparrowは、ホテル、政府、エンジニアリング会社、法律事務所へのサイバー攻撃に関連しているとされています。同グループはこれまで、SparrowDoorを専用のインプラントとして使用し、独立して活動してきました。
研究者たちは、時間の経過とともに、FamousSparrow と、Earth Estries、GhostEmperor、 Salt Typhoonなどの他の中国のハッキンググループ(通信業界を標的にしていることで知られる)との戦術的類似性を観察してきました。しかし、これらの重複にもかかわらず、FamousSparrow は独自の特徴を持つ別の脅威グループとして分類されています。
攻撃チェーン: 侵害がどのように展開したか
攻撃は、FamousSparrow が脆弱な IIS サーバーに Web シェルを展開することから始まります。最初のアクセスを取得する正確な方法は不明ですが、影響を受けた組織は両方とも古いバージョンの Windows と Microsoft Exchange Server を実行していたため、主要な標的となりました。
ウェブ シェルが設置されると、リモート バッチ スクリプトの起動パッドとして機能します。このスクリプトは、Base64 でエンコードされた .NET ウェブ シェルを実行し、最終的に SparrowDoor と ShadowPad の両方を侵害されたシステムに展開します。
SparrowDoor の仕組み: その機能の詳細
新しい SparrowDoor の亜種の 1 つは、以前に文書化されたマルウェアであるCrowdoorと類似点があります。ただし、両方のバージョンには、次のような大幅な機能強化が導入されています。
- 並列タスク実行- バックドアは一度に複数のコマンドを実行できるため、パフォーマンスが向上します。
- 動的コマンド処理- コマンドは新しいスレッドをトリガーし、コマンド アンド コントロール (C&C) サーバーへの別の接続を確立します。
- 被害者追跡– 各接続には一意の被害者 ID とコマンド ID が含まれており、C&C サーバーが進行中のタスクを効率的に管理するのに役立ちます。
SparrowDoor には、その機能性を高めるさまざまな機能が備わっています。プロキシを確立し、秘密通信を可能にし、インタラクティブ シェル セッションを開始してリアルタイムのコマンド実行を可能にします。また、バックドアは、ファイルの読み取り、書き込み、変更など、さまざまなファイル操作を処理すると同時に、ファイル システムを列挙して使用可能なディレクトリとデータをマップすることもできます。さらに、詳細なホスト情報を収集し、侵入したシステムに関する洞察を攻撃者に提供します。必要に応じて、SparrowDoor は完全に自身を削除して、その存在の痕跡を消去することもできます。
モジュラーアプローチ: SparrowDoor の拡張バージョン
2 番目のより高度な SparrowDoor バリアントは、モジュール式のプラグインベースの設計を導入し、9 つの専用モジュールを通じて機能を拡張します。
- Cmd – システムコマンドを実行する
- CFile – ファイル操作を管理する
- CKeylogPlug – キーストロークを記録する
- CSocket – TCPプロキシを確立する
- CShell – 対話型シェルセッションを開始する
- CTransf – 感染したホストとC&Cサーバー間でファイルを転送する
- CRdp – スクリーンショットをキャプチャする
- CPro – 実行中のプロセスの一覧表示と終了
- CFileMoniter – 特定のディレクトリのファイルシステムの変更を追跡する
FamousSparrow: 今も活動中、進化中
この最近の一連の活動は、FamousSparrow が依然として活動しているだけでなく、SparrowDoor バックドアの継続的な開発に投資していることを裏付けています。モジュール機能の導入と ShadowPad の採用により、このグループは明らかに進化しており、今後さらに重大なサイバーセキュリティの脅威をもたらすことになります。
