Un groupe de cyberespionnage lié à la Chine connu sous le nom de « Famous Sparrow » a été observé en train d’utiliser une nouvelle version modulaire de sa porte dérobée signature « SparrowDoor » contre une organisation commerciale basée aux États-Unis.
L’activité et la nouvelle version du malware ont été observées par des chercheurs en sécurité d’ESET, qui ont trouvé des preuves que l’auteur de la menace était plus actif qu’on ne le pensait initialement depuis que ses dernières opérations ont été exposées en 2022.
Outre l’organisation financière, d’autres attaques récentes découvertes par ESET et liées au célèbre Sparrow incluent un institut de recherche mexicain et une institution gouvernementale au Honduras.
Dans tous ces cas, l’accès initial a été obtenu via l’exploitation de points de terminaison Microsoft Exchange et Windows Server obsolètes, les infectant avec des webshells.
Nouvelle porte à moineaux modulaire
L’enquête d’ESET a en fait révélé deux nouvelles versions de la porte dérobée SparrowDoor.
La première est similaire à une porte dérobée Trend Micro attribuée à des « entités terrestres », avec une meilleure qualité de code, une architecture améliorée, une configuration cryptée, des mécanismes de persistance et une commutation furtive de commande et de contrôle (C2).
Une nouvelle fonctionnalité clé qui s’applique aux deux nouvelles versions est l’exécution parallèle des commandes, où la porte dérobée peut continuer à écouter les commandes entrantes et à les traiter pendant qu’elle exécute les précédentes.
« Les deux versions de SparrowDoor utilisées dans cette campagne constituent des avancées considérables en termes de qualité de code et d’architecture par rapport aux anciennes », lit-on dans le rapport d’ESET.
« Le changement le plus important est la parallélisation des commandes chronophages, telles que les E/S de fichiers et le shell interactif. Cela permet à la porte dérobée de continuer à gérer de nouvelles commandes pendant que ces tâches sont effectuées. »
La variante la plus récente constitue les mises à jour les plus importantes, car il s’agit d’une porte dérobée modulaire dotée d’une architecture basée sur des plugins.
Il peut recevoir de nouveaux plugins du C2 au moment de l’exécution, qui sont entièrement chargés en mémoire, élargissant ses capacités opérationnelles tout en restant évasif et furtif.
Les opérations prises en charge par ces plugins incluent:
- Accès au shell
- Manipulation du système de fichiers
- Enregistrement au clavier
- Mandataire
- Capture d’écran
- Transfert de fichiers
- Processus d’inscription/de mise à mort
La connexion ShadowPad
Une autre découverte intéressante dans le rapport d’ESET est l’utilisation par FamousSparrow de ShadowPad, un cheval de Troie d’accès à distance modulaire polyvalent (RAT) associé à plusieurs APT chinois.
Dans les attaques observées par les chercheurs, ShadowPad a été chargé via un chargement latéral de DLL à l’aide d’un exécutable IME Microsoft Office renommé, injecté dans le lecteur Windows media (wmplayer.exe), et connecté à un serveur C2 connu associé au RAT.
Cela indique que FamousSparrow pourrait désormais avoir accès à des cyber-outils chinois de haut niveau, comme d’autres acteurs parrainés par l’État.
ESET note que Microsoft regroupe les Famousparrow, GhostEmperor et Earth Estries sous un seul groupe de menaces qu’ils appellent Salt Typhoon.
Étant donné le manque de preuves techniques à l’appui, ESET les suit en tant que groupes distincts. Cependant, il admet qu’il existe des similitudes de code dans leurs outils, des techniques d’exploitation similaires et une certaine réutilisation de l’infrastructure.
ESET explique ces chevauchements comme des signes d’un fournisseur tiers partagé, alias un « intendant numérique », qui se cache derrière et soutient tous ces groupes de menaces chinois.