Britanska vlada otkriva novu varijantu špijunskog zlonamjernog softvera SparrowDoor

Prošle godine, britanski Nacionalni centar za kibernetičku sigurnost (NCSC) pronašao je varijantu špijunskog zlonamjernog softvera SparrowDoor na neotkrivenoj britanskoj mreži. Danas je objavljena analiza varijante koja sada između ostalog može ukrasti podatke iz međuspremnika. Osim toga, dostupni su pokazatelji kompromisa i Yara pravila koja omogućuju organizacijama da otkriju zlonamjerni softver unutar vlastite mreže.

Prvu verziju SparrowDoor-a otkrila je antivirusna tvrtka ESET i navodno je korištena protiv hotela diljem svijeta, kao i protiv vlada. Napadači su koristili ranjivosti u Microsoft Exchangeu, Microsoft SharePointu i Oracle Opera za proboj u organizacije. Pogođene organizacije bile su u Kanadi, Izraelu, Francuskoj, Saudijskoj Arabiji, Tajvanu, Tajlandu i Ujedinjenom Kraljevstvu, između ostalih. ESET nije otkrio točnu metu napadača.

Britanski NCSC kaže da je prošle godine pronašao varijantu SparrowDoor-a na britanskoj mreži. Ova verzija može ukrasti podatke iz međuspremnika i provjerava na tvrdo kodiranom popisu radi li određeni antivirusni softver. Ova varijanta također može imitirati token korisničkog računa prilikom postavljanja mrežnih veza. Vjerojatno je da je ovo “downgrade” napravljeno da bude neprimjetno, što bi i moglo da obavlja mrežnu komunikaciju pod računom SYSTEM, na primjer.

Još jedna nova značajka je otmica raznih Windows API funkcije. Nije jasno kada zlonamjerni softver koristi “API hooking” i “token impersonation”, ali prema britanskom NCSC-u, napadači donose svjesne operativne sigurnosne odluke. Ne daju se daljnji detalji o napadnutoj mreži ili tko stoji iza zlonamjernog softvera.