一個被研究人員稱為“FamousSparrow”的網絡間諜組織利用自定義后門（被稱為“SparrowDoor”）攻擊了世界各地的酒店、政府和私人組織。據ESET稱，這是今年早些時候針對ProxyLogon漏洞的高級持續威脅（APT）之一，盡管其活動直到最近才被曝光。

　　據該公司稱，后門的惡意行為包括：重命名或刪除文件；創建目錄；關閉進程；發送文件屬性、文件大小、文件寫入時間等信息；提取指定文件的內容；將數據寫入指定文件；或者建立一個交互式的反向shell。還有一個終止開關，用于從受害機器中刪除持久性設置和所有SparrowDoor文件。

　　研究人員指出：“FamousSparrow將目標瞄準了世界各國政府，這一行為表明FamousSparrow正在從事間諜活動。”

　　ProxyLogon漏洞

　　ProxyLogon遠程代碼執行（RCE）漏洞于3月被披露，并在一系列攻擊中被10多個APT組織用來通過shellcode建立對全球Exchange郵件服務器的訪問。根據ESET遙測，FamousSparrow在微軟發布該漏洞的補丁后的第二天就開始利用這些漏洞。

　　根據ESET的說法，在FamousSparrow的案例中，它利用該漏洞部署了SparrowDoor，這在其他攻擊（其中許多針對酒店）中也出現過。研究人員指出，這些活動在ProxyLogon之前和之后都有發生，最早可以追溯到2019年8月。

　　在他們能夠確定初始妥協向量的情況下，研究人員發現FamousSparrow的首選作案手法似乎是利用面向互聯網的易受攻擊的Web應用程序。

　　ESET研究人員表示：“我們認為FamousSparrow利用了Microsoft Exchange（包括2021年3月的ProxyLogon）、Microsoft SharePoint和Oracle Opera（酒店管理商業軟件）中已知的遠程代碼執行漏洞，這些漏洞被用來投放各種惡意樣本。”

　　他們補充說：“這再次提醒我們，快速修補面向互聯網的應用程序至關重要，如果無法快速修補，那就不要將它們暴露在互聯網上。”

　　SparrowDoor間諜工具

　　根據ESET周四發布的分析，一旦目標受到攻擊，FamousSparrow就會使用一系列自定義工具感染受害者。這些包括：

　　· 用于橫向運動的Mimikatz變體

　　· 一個將ProcDump放到磁盤上并使用它轉儲lsass進程的小實用程序，可能是為了收集內存中的機密，例如憑據

　　· Nbtscan，一種NetBIOS掃描器，用于識別LAN中的文件和打印機

　　· SparrowDoor后門的加載器

　　研究人員指出，加載程序通過DLL搜索順序劫持來安裝SparrowDoor。

　　他們解釋說：“合法的可執行文件Indexer.exe需要庫K7UI.dll才能運行。”“因此，操作系統按照制定的加載順序在目錄中查找DLL文件。由于存儲Indexer.exe文件的目錄在加載順序中處于最高優先級，因此它容易受到DLL搜索順序劫持。這正是惡意軟件加載的方式。”

　　根據這篇文章，持久性是通過注冊表運行鍵和一個使用二進制硬編碼的XOR加密配置數據創建和啟動的服務來設置的。然后，惡意軟件在端口433上與命令和控制（C2）服務器建立加密的TLS連接，該服務器可以被代理，也可以不被代理。

　　然后，惡意軟件通過調整SparrowDoor進程的訪問token以啟用SeDebugPrivilege，從而實現權限提升，SeDebugPrivilege是一種合法的Windows實用程序，用于調試自己以外的計算機上的進程。擁有SeDebugPrivilege的攻擊者可以“調試System擁有的進程，在這一點上，他們可以將代碼注入進程，并執行與net localgroup administrators anybody/add相當的邏輯操作，從而將自己（或其他任何人）提升為管理員。”

　　之后，SparrowDoor嗅出受害者的本地IP地址、與后門進程關聯的遠程桌面服務會話ID、用戶名以及計算機名稱，并將其發送給C2，并等待命令返回，以啟動其間諜活動。

　　FamousSparrow主要針對酒店，但ESET也觀察到了他們針對其他行業的目標，包括政府、國際組織、工程公司和律師事務所。該組織正在不斷發展，它的攻擊目標分散在全球范圍內，包括巴西、布基納法索、加拿大、以色列、法國、危地馬拉、立陶宛、沙特阿拉伯、南非、臺灣、泰國和英國。