Bí Mật về Nhóm Đe Dọa Tiên Tiến FamousSparrow

28/03/2025
2 mins read

Bài viết thảo luận về những hoạt động gần đây của nhóm đe dọa tiên tiến (APT) được liên kết với Trung Quốc, FamousSparrow. Dưới đây là những điểm chính:

Nội dung
1. Các biến thể phần mềm độc hại mới:
2. Mở rộng hồ sơ mục tiêu:
3. Chiến thuật tấn công:
4. Tích hợp ShadowPad:
5. Các lĩnh vực bị nhắm đến:
6. Khuyến nghị bảo mật:

1. Các biến thể phần mềm độc hại mới:

  • FamousSparrow đã triển khai hai phiên bản chưa được tài liệu hóa của cửa hậu SparrowDoor tùy chỉnh, cho thấy sự tiến bộ đáng kể về chất lượng mã và kiến trúc so với các phiên bản trước.
  • Một biến thể rất giống với phần mềm độc hại CrowDoor, được cho là của nhóm APT Earth Estries, trong khi biến thể còn lại giới thiệu một kiến trúc mô-đun với hệ thống plugin.

2. Mở rộng hồ sơ mục tiêu:

  • Nhóm đã mở rộng sự chú ý của mình ra ngoài ngành khách sạn để bao gồm các chính phủ, tổ chức quốc tế, công ty kỹ thuật và văn phòng luật sư.
  • Các chiến dịch gần đây đã nhắm đến một cơ quan chính phủ ở Honduras và một viện nghiên cứu ở Mexico, cho thấy sự mở rộng về địa lý của nhóm.

3. Chiến thuật tấn công:

  • Các kẻ tấn công đã sử dụng sự kết hợp giữa các công cụ tùy chỉnh và công cụ sẵn có để truy cập ban đầu và di chuyển ngang, bao gồm một webshell .NET để duy trì sự hiện diện, khung khai thác hậu kỳ mã nguồn mở PowerHub và kỹ thuật tăng quyền BadPotato.
  • Một phiên bản sửa đổi của Spark RAT mã nguồn mở và các công cụ để dump bộ nhớ LSASS cũng đã được sử dụng.

4. Tích hợp ShadowPad:

  • FamousSparrow đã tích hợp cửa hậu ShadowPad vào kho vũ khí của mình lần đầu tiên, đây là phần mềm độc hại bán riêng, được biết đến chỉ cung cấp cho những kẻ tấn công liên kết với Trung Quốc.

5. Các lĩnh vực bị nhắm đến:

  • Nhóm đã nhắm đến nhiều lĩnh vực khác nhau, bao gồm ngành khách sạn, như thấy trong một chiến dịch lừa đảo giả mạo Booking.com, nhắm vào nhân viên khách sạn và thu thập dữ liệu nhạy cảm.
  • Tại Mỹ, một nhóm thương mại trong lĩnh vực tài chính đã bị xâm phạm, cho thấy khả năng của nhóm để nhắm vào các lĩnh vực đa dạng.

6. Khuyến nghị bảo mật:

  • Các tổ chức trong những lĩnh vực bị nhắm đến nên duy trì cảnh giác và thực hiện các biện pháp an ninh mạnh mẽ để bảo vệ khỏi những mối đe dọa đang phát triển, bao gồm hệ thống lọc email mạnh mẽ, đào tạo nhận thức an ninh thường xuyên, và kích hoạt xác thực đa yếu tố cho tất cả các tài khoản khi có thể.

Tóm lại, FamousSparrow đã thể hiện khả năng phần mềm độc hại nâng cao và một bộ công cụ mở rộng, tạo ra một mối đe dọa liên tục cho nhiều lĩnh vực trên toàn cầu.