Eset Research, Amerika Birleşik Devletleri’nde finans sektöründe faaliyet gösteren bir ticaret grubunun ağındaki şüpheli faaliyetleri araştırdı. Eset, etkilenen kuruluşun tehlikeyi gidermesine yardımcı olurken kurbanın sisteminde beklenmedik bir keşif yaptı: Çin’e bağlı bir APT grubu olan FamousSparrow’a ait kötü amaçlı araçlar. FamousSparrow tarafından 2022’den bu yana kamuya açık olarak belgelenmiş bir faaliyet olmadığı için grubun etkin olmadığı düşünülüyordu.
ESET araştırması, FamousSparrow’un bu dönemde hâlâ aktif olduğunu, aynı zamanda araç setini de geliştirdiğini gösteriyor. Ele geçirilen ağda FamousSparrow’un amiral gemisi olan arka kapısı SparrowDoor’un bir değil daha önce belgelenmemiş iki sürümü ortaya çıktı.
Eset Research, grubun 2022-2024 döneminde Honduras’taki bir devlet kurumunu hedef almak da dahil olmak üzere ek faaliyetlerini ortaya çıkardı. Ayrıca Eset, bu kampanyanın bir parçası olarak, tehdit aktörünün ABD’deki tehlikeden sadece birkaç gün önce Meksika’daki bir araştırma enstitüsüne sızmayı başardığını keşfetti; her ikisi de Haziran 2024’ün sonlarında ihlal edilmişti. SparrowDoor’un bu sürümlerinin her ikisi de özellikle kod kalitesi ve mimari açısından önceki yinelemelere göre belirgin bir ilerleme teşkil etmektedir ve biri komutların paralelleştirilmesini uygulamaktadır.
Keşfi yapan Eset araştırmacısı Alexandre Côté Cyr şu açıklmayı yaptı:
“Bu yeni sürümler önemli yükseltmeler sergilese de yine de doğrudan daha önceki, kamuya açık olarak belgelenmiş sürümlere kadar izlenebilirler. Bu saldırılarda kullanılan yükleyiciler de daha önce FamousSparrow’a atfedilen örneklerle önemli kod örtüşmeleri sunuyor.”
FamousSparrow, etkilenen ağa ilk erişimi elde etmek için bir IIS sunucusuna bir webshell yerleştirdi. Eset, web kabuklarını dağıtmak için kullanılan istismarı tam olarak belirleyememiş olsa da her iki kurban da Windows Server ve Microsoft Exchange’in eski sürümlerini çalıştırıyordu ve bunlar için halka açık birkaç istismar mevcuttu. Kampanyada kullanılan araç setine gelince, tehdit aktörü, Çin’e bağlı APT grupları tarafından paylaşılanların yanı sıra halka açık kaynaklardan gelen özel araçlar ve kötü amaçlı yazılımların bir karışımını kullandı. Nihai yükler SparrowDoor ve ShadowPad arka kapılarıydı. Bunların arasında komut çalıştırma, dosya sistemi işlemleri, keylogging, dosya aktarımı, süreçleri listeleme ve öldürme, dosya sistemi değişikliklerini izleme ve ekran görüntüsü alma yeteneğine sahip eklentiler vardı.
Eylül 2024’te Wall Street Journal, Amerika Birleşik Devletleri’ndeki internet servis sağlayıcılarının Salt Typhoon adlı bir tehdit aktörü tarafından ele geçirildiğini bildiren bir makale yayımladı. Makale, Microsoft tarafından bu tehdit aktörünün FamousSparrow ve GhostEmperor ile aynı olduğu iddia ediyordu.
Côté Cyr şu açıklamayı yaptı:
“Bu, son iki grubu birleştiren ilk kamu raporuydu. Ancak biz GhostEmperor ve FamousSparrow’u iki ayrı grup olarak görüyoruz. İkisi arasında çok az örtüşme olsa da birçok tutarsızlık var. Verilerimize ve kamuya açık raporların analizine dayanarak, FamousSparrow’un diğerleriyle gevşek bağlantıları olan kendi ayrı dizisi olduğu görünüyor”
FamousSparrow, 2019’dan beri aktif olan bir siber casusluk grubudur. Eset Research, grubu ilk kez 2021 yılında ProxyLogon güvenlik açığından yararlandığını gözlemlediğinde bir blog gönderisinde kamuya açıkladı. Grup başlangıçta dünyanın dört bir yanındaki otelleri hedef almasıyla biliniyordu ancak hükümetleri, uluslararası kuruluşları, mühendislik şirketlerini ve hukuk firmalarını da hedef aldı. FamousSparrow, SparrowDoor arka kapısının bilinen tek kullanıcısıdır.
Kaynak : 