Você já se perguntou como grupos de hackers altamente sofisticados operam nos bastidores? Prepare-se para mergulhar no mundo da cibersegurança com a história do grupo FamousSparrow, um ator chinês que recentemente voltou à ativa após um período de silêncio.
O Retorno do FamousSparrow
Após um longo período de inatividade, o grupo FamousSparrow, com forte ligação à China, voltou à cena. Eles comprometeram uma associação comercial do setor financeiro dos EUA e um instituto de pesquisa mexicano. Há também indícios de ataques a instituições governamentais em Honduras, além de outras vítimas ainda não identificadas.
Novas Ferramentas e Táticas
Pesquisadores revelaram que o grupo desenvolveu duas novas versões de seu backdoor personalizado, o SparrowDoor, entre 2022 e 2024. Isso mostra uma capacidade de adaptação e inovação na criação de malware.
SparrowDoor: Evolução do Malware
As novas versões do SparrowDoor demonstram um aprimoramento significativo em relação às versões anteriores. A primeira versão incluiu mais comandos suportados e utilizou multi-threading para executar tarefas em paralelo, aumentando sua eficiência. A segunda versão possui uma arquitetura modular, permitindo a execução de plugins e melhor organização do código. Ambas as versões mantêm sobreposições significativas de código com versões mais antigas.
Utilizando ShadowPad
Além do SparrowDoor, o FamousSparrow também utilizou o ShadowPad, um backdoor comercializado privadamente e frequentemente associado a atores maliciosos chineses. Essa ferramenta permite controle remoto, transferência de arquivos e acesso profundo aos sistemas comprometidos. Esta foi a primeira vez que o FamousSparrow foi visto usando o ShadowPad.
Alvos e Métodos
Em seus ataques recentes, o FamousSparrow explorou vulnerabilidades em servidores IIS, utilizando um exploit desconhecido para implantar um webshell. As vítimas utilizavam versões desatualizadas do Windows Server e do Microsoft Exchange, facilitando a invasão. Após o acesso inicial, os hackers estabeleceram sessões remotas do PowerShell e baixaram arquivos para executar o SparrowDoor.
Conexões e Implicações
Embora existam “ligações fracas” com outros grupos de espionagem chineses, o FamousSparrow parece ser um grupo distinto. A investigação aponta para a possibilidade de um terceiro intermediário, fornecedor de ferramentas ou infraestrutura, conectando diferentes grupos. A combinação de novas ferramentas, alvos estratégicos e o retorno à ativa representam uma ameaça significativa à segurança cibernética global.
Conclusão
O ressurgimento do FamousSparrow destaca a importância da atualização constante de softwares, da monitoração de ameaças e da adoção de práticas robustas de segurança cibernética. A sofisticação das ferramentas e táticas empregadas demonstram a necessidade de vigilância constante e colaboração internacional para combater esses grupos de hackers.
Compartilhe suas experiências e reflexões sobre segurança cibernética nos comentários abaixo!
Fonte: The Register
