notoriety of the hacking group FamousSparrow: Alleged attacks on American financial institutions

Эксперты ESET недавно обнаружили новые варианты вредоносного ПО SparrowDoor, используемого группой FamousSparrow. Расследование выявило активность группы в период с 2022 по 2024 год. Она нацеливалась на государственные учреждения, исследовательские организации и финансовые институты.

Считалось, что FamousSparrow, китайская государственная группа киберугроз, прекратила свою деятельность, но, как выяснилось, она не только активна, но и в течение многих лет ведет целевую атаку на государственные структуры, финансовые организации и исследовательские институты.

Специалисты ESET наткнулись на новый вариант вредоносного ПО FamousSparrow, что привело их к открытию деятельности группы по всему миру. ESET сообщили, что их пригласила неназванная торговая группа из США, работающая в финансовом секторе, для помощи с заражением вредоносным ПО.

Исследователи обнаружили две ранее неизвестные версии SparrowDoor – основного бэкдора FamousSparrow. ESET заявила, что о группе не было слышно с 2022 года, из-за чего кибербезопасность считала ее неактивной. Однако в этот период FamousSparrow атаковала государственное учреждение в Гондурасе и исследовательский институт в Мексике. Фактически, второе учреждение было взломано «всего за пару дней до компрометации в США» (оба случая произошли в июле 2024 года).

«Обе версии SparrowDoor демонстрируют значительный прогресс по сравнению с более ранними итерациями, особенно в отношении качества кода и архитектуры, а одна из версий реализует параллелизацию команд», – заявили в ESET. «Несмотря на существенные обновления, эти новые версии можно отследить напрямую до ранее публично документированных версий. Загрузчики, используемые в этих атаках, также демонстрируют значительное перекрытие кода с образцами, ранее приписываемыми FamousSparrow», – говорит исследователь ESET Александр Кот Сир (Alexandre Côté Cyr), сделавший это открытие.

Исследователи заявили, что не смогли определить начальный вектор заражения, но добавили, что компания использовала устаревшие версии Windows Server и Microsoft Exchange, у которых есть несколько доступных общедоступных уязвимостей. Независимо от используемой ими уязвимости, FamousSparrow развернула веб-оболочку на сервере IIS, получив доступ и возможность развертывать дополнительные полезные нагрузки.

Помимо SparrowDoor, группа использовала ShadowPad и другие инструменты, способные выполнять команды, записывать нажатия клавиш, выгружать файлы, делать снимки экрана и многое другое.