ESET yeni bir siber casusluk saldırısı Resmen ortaya çıktı

Siber güvenlik şirketi ESET, FamousSparrow'un ABD'de finans sektöründe faaliyet gösteren bir ticaret şirketini, Meksika'da bir araştırma enstitüsünü ve Honduras'ta bir devlet kurumunu tercih ettiğini keşfetti. Çin'e bağlı bir Gelişmiş kalıcı Tehdit (APT) grubu olan FamousSparrow, SparrowDoor arka kapısının daha önce belgelenmiş iki sürümü devreye alınmıştır.

ESET Research, Amerika Birleşik resimlerinde finans sektöründe faaliyet gösteren bir ticaret yelpazesindeki şüpheli faaliyetleri araştırdı. ESET, etkilenen hücrelerin tehlikeyi gidermesine yardımcı olan kurbanın ömrünün beklenen bir iyileşmesini yaptı: Çin'e bağlı bir APT grubu olan FamousSparrow'a ait kötü amaçlı araçlar. FamousSparrow tarafından 2022'den bu yana kamuya açık olarak belgelenmiş bir faaliyet olmadığı için grup etkin olmadığı düşünülüyordu. ESET araştırması, FamousSparrow'un bu dönemde aktif olduğunu, aynı zamanda araç setinin de geliştiğini gösteriyor. Ele performansı ağda FamousSparrow'un amiral gemisi olan arka kapısı SparrowDoor'un bir değil daha önce belgelenmiş iki sürümü ortaya çıktı.

ESET Araştırma, grubun 2022-2024 Honduras'taki döneminde bir devlet kurumu hedef almak da dahil olmak üzere ek faaliyetlerini ortaya çıkardı. Ayrıca ESET, bu kampanyasının bir parçası olarak, tehdit aktörünün ABD'deki tehlikeden sadece birkaç gün önce Meksika'daki bir araştırma enstitüsüne sızmayı başardığını keşfetti; Her ikisi de Haziran 2024'ün sona ermesiyle sınırlandırılmıştır. SparrowDoor'un bu çalışmasının her ikisi de özellikle kod kalitesi ve mimari açıdan önceki yinelemelere göre belirgin bir ilerleme teşkilatı sürdürmekte ve biri komutların paralelleştirilmesini uygulamaktadır.

Keşfi yapan ESET araştırmacısı Alexandre Côté Cyr şu açıklmayı yaptı: "Bu yeni sürümler önemli yükseltmeler sergilese de yine de doğrudan daha önceki, kamuya açık olarak belgelenmiş sürümlere kadar izlenebilirler. Bu saldırılarda kullanılan sürümler de daha önce FamousSparrow'a atfedilen örneklerle önemli kodlamalar sunuyor."

FamousSparrow, etkilenen ağa ilk erişimi elde etmek için bir IIS sunucusuna bir webshell yerleştirdi. ESET, web kabuklarını dağıtmak için kullanılan istismarı tam olarak belirtmemiş olsa da her iki kurban da Windows Server ve Microsoft Exchange'in eski sürümlerini çalıştırıyordu ve bunlar için halka açık birkaç istismar mevcuttu. Kampanyada kullanılan araç seti, tehdit aktörü, Çin'e bağlı APT parçaları tarafından sunulan hizmetlerin yanı sıra halka açık tedarikler, gelen özel araçlar ve kötü amaçlı yazılımların bir karışımını kullandı. Nihai, SparrowDoor ve ShadowPad'in arka kapılarında yükler. Bunlar arasında komut çalıştırma, dosya işlemleri, keylogging, dosya dağıtımı, geniş listeleme ve öldürme, dosya sistemi yazılımıi izleme ve ekran görüntü alma özelliklerine sahip eklentiler vardı.

Eylül 2024'te Wall Street Journal, Amerika Birleşik resmi'ndeki internet servis sağlayıcılarının Salt Typhoon adlı bir tehdit aktörü tarafından ele geçirildiğini bildiren bir makale yayımladı. Makale, Microsoft tarafından bu tehdit aktörünün FamousSparrow ve GhostEmperor ile aynı olduğu iddiasında bulunuyor.

Côté Cyr "Bu, son iki grubu birleştiren ilk kamu raporuydu. Ancak biz GhostEmperor ve FamousSparrow'u iki ayrı grup olarak görüyoruz. İkisi arasında çok az örtüşme olsa da birçok tutarsızlık var. Verilerimize ve kamuya açık raporlarının analizine dayanılarak, FamousSparrow'un diğerleriyle birleştirmeleri olan kendi ayrı dizisi olduğunu açıklama yaptı".

FamousSparrow, 2019'dan beri aktif olan bir siber casusluk grubudur. ESET Research grubu ilk kez 2021 yılında ProxyLogon güvenlik açığından yararlanıldığını gözlemlediğinde bir blog gönderisinde kamuya açıkladı. Grup başlangıçta dünyanın dört bir yanındaki hedef alınmasıyla biliniyordu hükümetleri, uluslararası ülkeler, mühendislik ilişkileri ve hukuk firmalarını da hedef aldı. FamousSparrow, SparrowDoor arka kapısının bilinen tek kullanıcısıdır.