ShadowPad и SparrowDoor: двойной удар по США и Мексике

Китайская группировка FamousSparrow вновь напомнила о себе, проведя масштабные атаки на организации в США и Мексике. Целями стали торговое объединение в Соединённых Штатах и научно-исследовательский институт в Мексике. В обоих случаях злоумышленники внедрили вредоносные программы SparrowDoor и ShadowPad — инструменты, активно применяемые в операциях, связанных с государственными интересами КНР.

Специалисты компании ESET зафиксировали обновлённую вредоносную активность в июле 2024 года. Особое внимание привлёк тот факт, что FamousSparrow использовал ShadowPad — платформу, широко распространённую среди китайских кибергруппировок. Помимо неё, были задействованы две новые версии собственного бэкдора SparrowDoor, одна из которых получила модульную архитектуру.

Исследование выявило значительный прогресс в развитии вредоносного инструмента. Обновлённые версии SparrowDoor позволяют выполнять команды параллельно, что существенно ускоряет обработку задач. Ранее этот функционал в подобных инструментах встречался редко, особенно в тех, что использовались FamousSparrow в прошлых атаках.

Сама группировка была впервые описана в 2021 году после серии атак на гостиничный бизнес, государственные структуры, инжиниринговые компании и юридические фирмы. Аналитики отметили сходство тактик с другими китайскими группами, такими как Earth Estries, GhostEmperor и Salt Typhoon, однако считают FamousSparrow самостоятельной единицей с ограниченными связями с этими кластерами.

В последней атаке злоумышленники внедрили веб-оболочку на сервер с IIS, хотя точный способ его доставки пока неизвестен. Обе жертвы использовали устаревшие версии Windows Server и Microsoft Exchange, что упростило проникновение. После установки веб-шелла с удалённого сервера загружался batch-скрипт. Он содержал зашифрованный .NET веб-шелл, который запускал для активации вредоносных компонентов SparrowDoor и ShadowPad.

Среди особенностей новой версии SparrowDoor — возможность запускать прокси, открывать интерактивные сессии, работать с файлами, собирать информацию о системе и удалять себя после выполнения всех задач. Один из вариантов, по словам специалистов, имеет сходство с другим вредоносом — Crowdoor, но отличается улучшенной многозадачностью: каждая команда запускает отдельный поток, устанавливающий связь с сервером управления.

Отдельное внимание исследователи уделили модульной версии бэкдора. Она работает по принципу плагинов и включает девять отдельных компонентов: от запуска командной строки до снятия скриншотов и перехвата нажатий клавиш. Такой подход позволяет расширять функциональность без перекомпиляции основного кода.

ESET подчеркнула, что обнаруженные модификации демонстрируют непрерывную активность группы и свидетельствуют о ведении активной разработки новых инструментов. Это говорит не только о сохранении ресурсов у FamousSparrow, но и о намерении расширить спектр своих возможностей в будущих атаках.

Краткий анализ технических параметров, архитектурных решений и инфраструктуры указывает на высокий уровень подготовки и зрелость группы. Отслеживание ID жертв, сегментация команд и использование параллельной обработки задач указывают на то, что SparrowDoor постепенно превращается в полноценную платформу кибер шпионажа , способную адаптироваться к разным сценариям и целям.

Несмотря на некоторые следы, связывающие FamousSparrow с другими известными китайскими группировками, текущая активность и уникальность кода указывают на относительную автономность и собственную базу разработок. Учитывая масштаб атак и набор задействованных инструментов, можно ожидать появления новых кампаний с использованием ещё более совершенных версий вредоносного ПО.