Nuove varianti di SparrowDoor: attacchi mirati a organizzazioni negli Stati Uniti e in Messico

Il gruppo di cyber-spionaggio cinese noto come FamousSparrow è stato recentemente collegato a una serie di attacchi informatici che hanno preso di mira una associazione commerciale negli Stati Uniti e un istituto di ricerca in Messico. Questi attacchi, osservati nel luglio 2024, hanno visto l’impiego di due nuove varianti del malware SparrowDoor, tra cui una versione modulare, e l’adozione per la prima volta di ShadowPad, un malware ampiamente utilizzato da attori sponsorizzati dallo stato cinese.

Evoluzione delle capacità di SparrowDoor

Le nuove varianti di SparrowDoor rappresentano un significativo progresso rispetto alle versioni precedenti. Una delle versioni aggiornate presenta funzionalità di parallelizzazione dei comandi, consentendo l’esecuzione simultanea di operazioni come l’I/O dei file e l’avvio di shell interattive. Questo approccio migliora l’efficienza del malware, permettendo di gestire più istruzioni contemporaneamente.

La seconda variante introduce un’architettura modulare, con nove plugin distinti che offrono funzionalità avanzate, tra cui:

• Esecuzione di comandi singoli
• Operazioni sul file system
• Registrazione delle sequenze di tasti (keylogging)
• Avvio di proxy TCP
• Sessioni shell interattive
• Trasferimento di file tra l’host compromesso e il server di comando e controllo (C&C)
• Cattura di screenshot
• Gestione dei processi in esecuzione
• Monitoraggio delle modifiche nel file system

Catena di attacco e vettori di infezione

Gli attacchi hanno sfruttato vulnerabilità in server Internet Information Services (IIS), dove è stata installata una web shell. Questa ha agito come vettore per scaricare uno script batch da un server remoto, il quale ha successivamente lanciato una web shell .NET codificata in Base64. Quest’ultima ha infine distribuito le varianti di SparrowDoor e ShadowPad.

Le organizzazioni colpite utilizzavano versioni obsolete di Windows Server e Microsoft Exchange Server, evidenziando l’importanza di mantenere aggiornati i sistemi per prevenire tali intrusioni.

Implicazioni e raccomandazioni

L’adozione di ShadowPad da parte di FamousSparrow indica una possibile evoluzione nelle tattiche del gruppo, con una maggiore condivisione di strumenti tra diversi attori sponsorizzati dallo stato cinese. Le nuove capacità di SparrowDoor, in particolare la sua architettura modulare, aumentano la flessibilità e la pericolosità del malware.

È fondamentale che le organizzazioni adottino misure proattive per proteggere le proprie infrastrutture:

• Aggiornare regolarmente i sistemi operativi e le applicazioni per correggere le vulnerabilità note.
• Implementare soluzioni di sicurezza avanzate per monitorare e rilevare attività sospette.
• Condurre audit di sicurezza periodici per identificare e mitigare potenziali rischi

Per ulteriori dettagli, è possibile consultare l’articolo originale su The Hacker News