Förra året hittade Storbritanniens National Cyber Security Center (NCSC) en variant av spionskadlig programvara SparrowDoor på ett okänt brittiskt nätverk. Idag publicerades en analys av varianten som nu bland annat kan stjäla data från klippbordet. Dessutom har indikatorer på kompromiss och Yara-regler gjorts tillgängliga som gör det möjligt för organisationer att upptäcka skadlig programvara i sitt eget nätverk.
Den första versionen av SparrowDoor upptäcktes av antivirusföretaget ESET och sägs ha använts mot hotell över hela världen, såväl som mot regeringar. Angriparna använde sårbarheter i Microsoft Exchange, Microsoft SharePoint och Oracle Opera för att bryta sig in i organisationer. Berörda organisationer fanns i bland annat Kanada, Israel, Frankrike, Saudiarabien, Taiwan, Thailand och Storbritannien. ESET avslöjade inte det exakta målet för angriparna.
Brittiska NCSC säger att de hittade en variant av SparrowDoor på ett brittiskt nätverk förra året. Den här versionen kan stjäla data från klippbordet och kontrollerar mot en hårdkodad lista om viss antivirusprogramvara körs. Denna variant kan också imitera användarkontotoken när du konfigurerar nätverksanslutningar. Det är troligt att denna "nedgradering" görs för att vara oansenlig, vilket den skulle kunna göra om den till exempel utförde nätverkskommunikation under SYSTEM-kontot.
En annan ny funktion är kapning av olika Windows API-funktioner. Det är inte klart när skadlig programvara använder "API hooking" och "token impersonation", men enligt brittiska NCSC fattar angriparna medvetna operativa säkerhetsbeslut. Ytterligare detaljer om det attackerade nätverket eller vem som ligger bakom skadlig programvara ges inte.