Um grupo de ciberespionagem com ligações à China, conhecido como “FamousSparrow”, foi flagrado empregando uma versão inédita e modular de seu backdoor exclusivo, “SparrowDoor”, em um ataque direcionado a uma organização comercial sediada nos Estados Unidos.
A atividade e a nova versão do malware foram detectadas por pesquisadores de segurança da ESET, que identificaram evidências de que o agente de ameaças tem mantido um nível de atividade mais elevado do que se supunha desde a exposição de suas últimas operações em 2022.
Além da organização financeira, outros ataques recentes atribuídos ao FamousSparrow, descobertos pela ESET, incluem um instituto de pesquisa mexicano e uma instituição governamental em Honduras.
Táticas e ferramentas do grupo de ciberespionagem FamousSparrow
Em todos esses incidentes, o acesso inicial foi obtido através da exploração de endpoints desatualizados do Microsoft Exchange e do Windows Server, infectando-os com webshells.
A investigação da ESET revelou duas novas versões do backdoor SparrowDoor.
A primeira versão apresenta semelhanças com um backdoor da Trend Micro atribuído ao “Earth Estries”, demonstrando melhorias na qualidade do código, arquitetura aprimorada, configuração criptografada, mecanismos de persistência e recursos furtivos de comutação de comando e controle (C2).
Uma inovação significativa presente em ambas as versões é a execução paralela de comandos, que permite ao backdoor continuar monitorando e processando comandos recebidos enquanto executa os anteriores.
“Ambas as versões do SparrowDoor utilizadas nesta campanha representam avanços consideráveis em termos de qualidade de código e arquitetura, em comparação com as versões mais antigas”, afirma o relatório da ESET.
“A mudança mais notável é a paralelização de comandos que consomem tempo, como operações de E/S de arquivo e o shell interativo. Isso possibilita que o backdoor continue lidando com novos comandos enquanto essas tarefas são executadas.”
A variante mais recente incorpora as atualizações mais significativas, sendo um backdoor modular com uma arquitetura baseada em plugins.
Notícias Relacionadas
Crime cibernético
LockBit sofre novo golpe com vazamento de banco de dados e mensagens com vítimas
A temida gangue de ransomware LockBit voltou às manchetes após sofrer uma nova invasão cibernética, resultando na exposição pública de seu banco de dados MySQL. A ofensiva atingiu diretamente os painéis de afiliados hospedados na dark web, que foram desfigurados e substituídos por uma mensagem inusitada: “Não cometa crimes, CRIME É RUIM, beijos de Praga”, […]
Cibersegurança avançada
Nova tática de ransomware explora falha no instalador do SentinelOne
Uma nova técnica sofisticada está sendo utilizada por cibercriminosos para desativar sistemas de detecção e resposta de endpoint (EDR), permitindo a instalação do ransomware Babuk. A abordagem, identificada como “Traga seu próprio instalador” (Bring Your Own Installer), aproveita brechas no processo de atualização do software de segurança SentinelOne. Ransomware usa instalador legítimo do SentinelOne para […]
Essa versão pode receber novos plugins do C2 em tempo real, que são carregados inteiramente na memória, expandindo suas capacidades operacionais e mantendo-se evasiva e furtiva.
As operações suportadas por esses plugins incluem:
- Acesso ao shell
- Manipulação do sistema de arquivos
- Registro de teclas
- Proxy
- Captura de tela
- Transferência de arquivo
- Listagem/eliminação de processos
Conexões com outros grupos e possível “Intendente Digital”
Outra descoberta relevante no relatório da ESET é o uso do ShadowPad pelo FamousSparrow, um trojan de acesso remoto modular (RAT) versátil associado a diversos APTs chineses.
Nos ataques analisados pelos pesquisadores, o ShadowPad foi carregado via carregamento lateral de DLL utilizando um executável renomeado do Microsoft Office IME, injetado no processo do Windows Media Player (wmplayer.exe) e conectado a um servidor C2 conhecido associado ao RAT.
Isso sugere que o FamousSparrow pode agora ter acesso a ferramentas cibernéticas chinesas de alto nível, semelhantes às utilizadas por outros atores patrocinados pelo Estado.
A ESET observa que a Microsoft agrupa FamousSparrow, GhostEmperor e Earth Estries em um cluster de ameaças denominado “Salt Typhoon”.
Embora a ESET os rastreie como grupos distintos devido à falta de evidências técnicas conclusivas, a empresa reconhece as similaridades de código em suas ferramentas, técnicas de exploração semelhantes e alguma reutilização de infraestrutura.
A ESET propõe que essas sobreposições podem indicar a existência de um fornecedor terceirizado compartilhado, também conhecido como “intendente digital”, que opera nos bastidores, fornecendo suporte a todos esses grupos de ameaças chineses.
