ESET обнаружила новые версии вредоносного ПО SparrowDoor, которое использует китайская хакерская группа FamousSparrow. 🕵️♂️ Исследование показало, что группировка активно действовала в 2022-2024 годах, атакуя госучреждения, научные институты и финансовые организации.
Ранее считалось, что FamousSparrow прекратила операции, но эксперты выяснили: хакеры не только не ушли, но и улучшили свои инструменты. 💻 Новые версии SparrowDoor стали сложнее и эффективнее, хотя сохранили связь с предыдущими образцами.
Как работают атаки?
ESET изучила инцидент в американской финансовой структуре и нашла две ранее неизвестные модификации SparrowDoor. 🐌 Хакеры также использовали ShadowPad и другие инструменты для кражи данных, кейлоггинга и удаленного управления.
Точный способ заражения неизвестен, но жертвы использовали устаревшие версии Windows Server и Microsoft Exchange — системы с множеством известных уязвимостей. После взлома злоумышленники получали доступ через веб-шелл на сервере IIS.