昨年、英国の国家サイバーセキュリティセンター(NCSC)は、非公開の英国のネットワーク上でスパイマルウェアSparrowDoorの亜種を発見しました。 バリアントの分析が本日公開され、クリップボードからデータを盗むことができるようになりました。 さらに、組織が独自のネットワーク内でマルウェアを検出できるようにする侵入の痕跡とYaraルールが利用可能になりました。
SparrowDoorの最初のバージョンは、ウイルス対策会社ESETによって発見され、世界中のホテルや政府に対して使用されたと言われています。 攻撃者は、Microsoft Exchange、Microsoft SharePoint、およびOracleOperaの脆弱性を利用して組織に侵入しました。 影響を受けた組織は、とりわけ、カナダ、イスラエル、フランス、サウジアラビア、台湾、タイ、および英国にありました。 ESETは、攻撃者の正確なターゲットを開示していません。
英国のNCSCは、昨年、英国のネットワークでSparrowDoorの亜種を発見したと述べています。 このバージョンはクリップボードからデータを盗み、特定のウイルス対策ソフトウェアが実行されているかどうかをハードコードされたリストと照合します。 このバリアントは、ネットワーク接続を設定するときにユーザーアカウントトークンを模倣することもできます。 この「ダウングレード」は目立たないように行われている可能性があります。たとえば、SYSTEMアカウントでネットワーク通信を行っている場合などです。
もうXNUMXつの新機能は、さまざまなハイジャックです。 Windows API関数。 マルウェアが「APIフック」と「トークンのなりすまし」をいつ使用するかは明らかではありませんが、英国のNCSCによると、攻撃者は意識的な運用上のセキュリティ決定を行っています。 攻撃されたネットワークやマルウェアの背後にいる人物に関する詳細は示されていません。