В июле 2024 года исследователи ESET Research обнаружили, что кибершпионская группа FamousSparrow скомпрометировала систему одной из торговых групп в США, работающей в финансовом секторе. Следуя за этим, они обнаружили, что FamousSparrow также взломала исследовательский институт в Мексике.
Описание
Эта группа, связанная с Китаем, была активной с 2019 года, но период с 2022 по 2024 год считался неактивным. Однако они не только были активны в этот период, но также разработали две новые версии своего бэкдора SparrowDoor, которые были обнаружены взломанной сети. Обе версии SparrowDoor являются значительным прогрессом по сравнению с предыдущими версиями и реализуют распараллеливание команд. Одна из версий похожа на CrowDoor, бэкдор, приписанный группе Earth Estries, а другая является модульной и отличается от предыдущих версий. В процессе этой кампании FamousSparrow также впервые использовала бэкдор ShadowPad, который известен связанным с Китаем злоумышленникам.
Исследователи обнаружили, что загрузчики, используемые FamousSparrow, имеют значительные совпадения с ранее приписываемыми им образцами, включая тот же отражающий шелл-код и похожий формат для связи с C&C-сервером. Они также обнаружили совпадения в коде SparrowDoor и HemiGate, группы GhostEmperor, но недостаточно данных, чтобы полностью оценить связь между ними. Microsoft Threat Intelligence связываает FamousSparrow с Salt Typhoon.
В целом, данное исследование раскрывает активности FamousSparrow и их использование новых версий бэкдора SparrowDoor. Эти инструменты представляют собой значительный прогресс и свидетельствуют о том, что группа остается активной и работает над улучшением своих атакующих возможностей.
Indicators of Compromise
IPv4
- 103.85.25.166
- 216.238.106.150
- 43.254.216.195
- 45.131.179.24
Domains
- amelicen.com
SHA1
- 0925f24082971f50edd987d82f708845a6a9d7c9
- 0dc20b2f11118d5c0cc46b082d7f5dc060276157
- 1b06e877c2c12d74336e7532bc0ecf761e5fa5d4
- 3a395daaf518be113fcff2e5e48acd9b9c0de69d
- 5265e8edc9b5f7dd00fc772522511b8f3be217e3
- 5df3c882db6be14887182b7439b72a86bd28b83f
- 5f1553f3af9425ef5d68341e991b6c5ec96a82eb
- 7d66b550ea68a86fcc0958e7c159531d4431b788
- 99bed842b5e222411d19f0c5b54478e8cc7ae68f
- a91b42e5062fef608f285002debaff9358162b25
- aa823148eea6f43d8eb9bf20412402a7739d91c2
- c26f04790c6fb7950d89ab1b08207ace01efb536
- cc350ba25947b7f9ec5d11ea8269407c0fd74095
- d03fd329627a58b40e805f4f55b5d821063ac27f
- d6d32a1f17d48fe695c0778018c0d51626db4a3b
- d78f353a70adf68371bc10cf869b761bd51484b0
- db1591c6e23160a94f6312ca46da2d0bb243322c
- ebc93a546bcdf6cc1eb61d7174bcb85407bbd892
- ef189737fb7d61b110b9293e8838526dce920127
- f35ce62abeedfb8c6a38ceac50a250f48c41e65e
