APP下载

间谍组织FamousSparrow利用ProxyLogon漏洞入侵受害组织,植入后门程式

消息来源:baojiabao.com 作者: 发布时间:2024-11-28

报价宝综合消息间谍组织FamousSparrow利用ProxyLogon漏洞入侵受害组织,植入后门程式
图片来源: 

ESET

许多企业使用的邮件系统Exchange Server,今年3月初惊传重大漏洞ProxyLogon,多个骇客组织在微软发布修补程式之后,开始运用这个漏洞进行攻击。例如,ESET最近揭露针对全球饭店、-的网络间谍组织FamousSparrow,骇客在受害组织植入后门程式的入侵管道,就包含ProxyLogon漏洞利用。

这个骇客组织引起ESET关注的原因之一,就在于他们于微软发布修补程式的隔日(3月3日),就着手运用前述的Exchange Server漏洞。

受害者遍及12个国家,台湾也在名单之内

ESET根据遥测的资料进行分析,他们认为FamousSparrow至少从2019年8月就开始活动,主要的攻击目标是全球的饭店。

但是,除了针对多家饭店之外,ESET也看到其他攻击活动,锁定对象包括:台湾、巴西、南非、加拿大、以色列、法国、英国、危地马拉等12国-单位、国际组织、工程公司,以及法律事务所等行业。

这个网络间谍组织究竟采用何种攻击手法?

ESET指出,FamousSparrow的偏好,是经由曝露在互联网的网页应用程序,来入侵受害组织的系统,他们认为,该组织不只锁定Exchange Server,还有SharePoint、Oracle提供用于管理饭店的商业软件Opera,并用这些网页程式已知的远端程式码执行(RCE)漏洞,进而在组织内植入恶意程式。

作案软件包含与窃密有关的工具

一旦FamousSparrow成功入侵上述服务器主机, 便会部署多种作案工具: 包含了骇客自行编译的Mimikatz,以及NetBIOS扫描工具Nbtscan、后门程式SparrowDoor的载入工具,还有疑似用来收集受害电脑内存内机密的工具。不过,对于此泄密工具,ESET并未提及名称,但指出其用途是下载ProcDump的应用程序,导出LSASS处理程序里的资料。

而对于后门程式SparrowDoor的运作方式,ESET也做出说明:当中使用K7 Computing防毒软件的合法应用程序,名为Indexer.exe,趁机夹带恶意DLL档案K7UI.dll,以及加密的Shellcode(MpSvc.dll)。

因Indexer.exe需K7UI.dll程式库才能执行,再加上攻击者存放此可执行程式的路径,具备最高载入优先级,容易触发DLL劫持攻击。

关于SparrowDoor后门程式的运作方式,根据资安业者ESET的揭露,是先由合法的K7 Computing防毒软件元件载入恶意程式库,再执行Shellcode进行解码程序,最终才在受害电脑编译并执行后门程式。

不过,SparrowDoor这个后门程式,究竟有那些功能?

ESET指出,攻击者可透过该程式,窜改档名或移除档案、建立资料夹、传送档案资讯、取得档案大小与写入时间、外泄特定档案的内容。此外,为了清除相关的迹证,SparrowDoor也能自我删除档案,以及移除能在受害装置持续运作的配置。

2021-09-29 21:54:00

相关文章