El actor de amenaza china conocido como Espalda famosa se ha relacionado con un ataque cibernético dirigido a un grupo comercial en los Estados Unidos y un instituto de investigación en México para entregar su borrador de puerta trasera insignia y el pade de sombras.
La actividad, observada en julio de 2024, marca la primera vez que el equipo de piratería ha desplegado Shadowpad, un malware ampliamente compartido por los actores chinos patrocinados por el estado.
«Famoussparrow desplegó dos versiones previamente indocumentadas de la puerta trasera de Sparrowdoor, una de ellas modular», dijo Eset en un informe compartido con Hacker News. «Ambas versiones constituyen un progreso considerable sobre las anteriores e implementan la paralelización de los comandos».
Famoussparrow fue documentado por primera vez por la compañía de seguridad cibernética eslovaca en septiembre de 2021 en relación con una serie de ataques cibernéticos dirigidos a hoteles, gobiernos, compañías de ingeniería y firmas de abogados con Sparrowdoor, un implante utilizado exclusivamente por el grupo.
Desde entonces, ha habido informes de las superposiciones tácticas del colectivo adversario con clústeres rastreados como extensiones de tierra, Empera Ghostemperador y, sobre todo, Typhoon de Salt, que se ha atribuido a intrusiones dirigidas al sector de las telecomunicaciones.
Sin embargo, ESET señaló que está tratando a Famoussparrow como un grupo de amenazas distinto con algunos vínculos sueltos con las estrías de la Tierra derivadas de los paralelos con el crowroor y la hemigante.
La cadena de ataque involucra al actor de amenaza que implementa un shell web en un servidor de servicios de información de Internet (IIS), aunque todavía se desconoce el mecanismo preciso utilizado para lograr esto. Se dice que ambas víctimas estaban ejecutando versiones obsoletas de Windows Server y Microsoft Exchange Server.
El shell web actúa como un conducto para soltar un script por lotes de un servidor remoto, que, a su vez, lanza un shell web .NET codificado Base64 integrado dentro de él. Este shell web finalmente es responsable de implementar Sparrowdoor y Shadowpad.
Eset dijo que una de las versiones de Sparrowdoor se asemeja a CURNCEROOR, aunque ambas variantes presentan mejoras significativas sobre su predecesor. Esto incluye la capacidad de ejecutar simultáneamente comandos que consumen mucho tiempo, como la E/S de archivos y el Shell Interactive, lo que permite que la puerta trasera procese las instrucciones entrantes mientras se ejecutan.
«Cuando la puerta trasera recibe uno de estos comandos, crea un hilo que inicia una nueva conexión con el servidor de C&C», dijo el investigador de seguridad Alexandre Côté Cyr. «La ID de víctima única se envía a través de la nueva conexión junto con una ID de comando que indica el comando que condujo a esta nueva conexión».
«Esto permite que el servidor C&C realice un seguimiento de qué conexiones están relacionadas con la misma víctima y cuáles son sus propósitos. Cada uno de estos subprocesos puede manejar un conjunto específico de submands».
Sparrowdoor tiene una amplia gama de comandos que le permiten iniciar un proxy, lanzar sesiones de shell interactivas, realizar operaciones de archivos, enumerar el sistema de archivos, recopilar información del host e incluso desinstalarlo.
En contraste, la segunda versión de la puerta trasera es modular y marcadamente diferente de otros artefactos, adoptando un enfoque basado en complementos para realizar sus objetivos. Admite hasta nueve módulos diferentes –
- CMD – Ejecute un solo comando
- CFILE – Realizar operaciones del sistema de archivos
- Ckeylogplug – Log keyStrokes
- CSocket – Inicie un proxy TCP
- Cshell – Comience una sesión de shell interactiva
- CTRANSF: inicie la transferencia de archivos entre el host de Windows comprometido y el servidor C&C
- CRDP – Toma capturas de pantalla
- CPRO – Lista de procesos de ejecución y mata a los específicos
- Cfilemoniter: monitorear los cambios del sistema de archivos para directorios especificados
«Esta actividad recién encontrada indica que el grupo no solo sigue operando, sino que también estaba desarrollando activamente nuevas versiones de Sparrowdoor durante este tiempo», dijo Eset.