Ferline jier fûn it UK's National Cyber Security Center (NCSC) in fariant fan 'e spion-malware SparrowDoor op in net bekend makke Britsk netwurk. In analyze fan de fariant waard hjoed publisearre, dy't no ûnder oare gegevens fan it klamboerd stelle kin. Derneist binne yndikatoaren fan kompromis en Yara-regels beskikber steld wêrtroch organisaasjes de malware binnen har eigen netwurk kinne ûntdekke.
De earste ferzje fan SparrowDoor waard ûntdutsen troch antivirusbedriuw ESET en wurdt sein dat se brûkt wurde tsjin hotels wrâldwiid, lykas tsjin oerheden. De oanfallers brûkten kwetsberens yn Microsoft Exchange, Microsoft SharePoint en Oracle Opera om yn organisaasjes yn te brekken. Beynfloede organisaasjes wiene ûnder oaren yn Kanada, Israel, Frankryk, Saûdy-Araabje, Taiwan, Tailân en it Feriene Keninkryk. ESET iepenbiere it krekte doel fan 'e oanfallers net.
De Britske NCSC seit dat it ferline jier in fariant fan SparrowDoor fûn hat op in Britsk netwurk. Dizze ferzje kin gegevens stelle fan it klamboerd en kontrolearret tsjin in hurdkodearre list oft bepaalde antivirus-software rint. Dizze fariant kin ek it token fan 'e brûkersaccount imitearje by it ynstellen fan netwurkferbiningen. It is wierskynlik dat dizze "downgrade" wurdt dien om onopvallend te wêzen, wat it koe as it bygelyks netwurkkommunikaasje ûnder it SYSTEM-akkount útfierde.
In oare nije funksje is it kapjen fan ferskate Windows API funksjes. It is net dúdlik wannear't de malware "API hooking" en "token impersonation" brûkt, mar neffens de Britske NCSC meitsje de oanfallers bewuste besluten foar operasjonele feiligens. Fierdere details oer it oanfalle netwurk of wa't efter de malware sit, wurde net jûn.