ارتبط تهديد صيني يُعرف باسم “FamousSparrow” بهجوم إلكتروني استهدف مجموعة تجارية في الولايات المتحدة ومعهد أبحاث في المكسيك لنشر الباب الخلفي “SparrowDoor” وبرنامج “ShadowPad” الضار.
الهجوم، الذي رُصد في يوليو 2024، يُعد الأول من نوعه حيث استخدمت المجموعة برنامج “ShadowPad”، وهو برنامج ضار تُشاركه عادةً جهات صينية مدعومة من الدولة.
وذكرت شركة ESET الأمنية في تقرير مشترك مع “ذا هاكر نيوز”: “نشر FamousSparrow نسختين غير موثقتين سابقًا من الباب الخلفي SparrowDoor، إحداهما معيارية. كلا النسختين تمثلان تقدمًا ملحوظًا مقارنة بالإصدارات السابقة وتدعمان تنفيذ الأوامر بشكل متوازٍ.”
تم توثيق نشاط FamousSparrow لأول مرة في سبتمبر 2021 عندما استهدفت مجموعة من الفنادق والحكومات وشركات الهندسة والمحاماة باستخدام “SparrowDoor”، وهو برنامج ضار حصري تستخدمه هذه المجموعة. ومنذ ذلك الحين، ظهرت تقارير عن تداخل تكتيكاتها مع مجموعات أخرى مثل Earth Estries وGhostEmperor وSalt Typhoon، التي ارتبطت بهجمات على قطاع الاتصالات.
ومع ذلك، تعامل ESET FamousSparrow كمجموعة تهديد مستقلة ذات روابط غير مباشرة مع Earth Estries بسبب تشابهها مع أدوات مثل Crowdoor وHemiGate.
آلية الهجوم:
- استغلال خادم IIS:
- استغل المهاجمون خادم Internet Information Services (IIS) لوضع ويب شل، لكن طريقة الاختراق الدقيقة لا تزال مجهولة.
- كانت الضحايا تستخدم إصدارات قديمة من Windows Server وMicrosoft Exchange Server.
- نشر الأبواب الخلفية:
- استخدم الـ ويب شل لتنزيل نص باتش من خادم بعيد، والذي قام بدوره بتشغيل ويب شل مشفر بـ Base64 مكتوب بلغة .NET.
- تم استخدامه لاحقًا لنشر SparrowDoor وShadowPad.
تطور SparrowDoor:
- الإصدار الأول: يشبه Crowdoor، لكنه يدعم تنفيذ أوامر متوازية (مثل عمليات الملفات والتفاعل مع الطرفية) أثناء استقبال تعليمات جديدة من خادم التحكم (C&C).
- الإصدار الثاني: معياري ويعتمد على إضافات (Plugins) لدعم مهام متعددة، منها:
- تشغيل أوامر (Cmd)
- تسجيل ضغطات المفاتيح (CKeylogPlug)
- إنشاء وكيل اتصال (CSocket)
- نقل الملفات (CTransf)
- مراقبة التغييرات في الملفات (CFileMonitor)
وأكدت ESET أن هذا النشاط يثبت أن المجموعة لا تزال نشطة وتطور أدواتها باستمرار.
