去年,英国国家网络安全中心(NCSC)在一个未公开的英国网络上发现了间谍恶意软件 SparrowDoor 的变种。 今天发布了对该变体的分析,它现在可以从剪贴板中窃取数据等。 此外,还提供了危害指标和 Yara 规则,使组织能够在自己的网络中检测恶意软件。
SparrowDoor 的第一个版本是由防病毒公司 ESET 发现的,据说已被用于对付全球的酒店以及政府。 攻击者利用 Microsoft Exchange、Microsoft SharePoint 和 Oracle Opera 中的漏洞闯入组织。 受影响的组织位于加拿大、以色列、法国、沙特阿拉伯、台湾、泰国和英国等。 ESET 没有透露攻击者的确切目标。
英国 NCSC 表示,它去年在英国网络上发现了 SparrowDoor 的变体。 此版本可以从剪贴板窃取数据,并根据硬编码列表检查某些防病毒软件是否正在运行。 此变体还可以在设置网络连接时模仿用户帐户令牌。 这种“降级”很可能是为了不引人注意,例如,如果它在 SYSTEM 帐户下执行网络通信,就可以做到这一点。
另一个新功能是劫持各种 Windows API 函数。 目前尚不清楚恶意软件何时使用“API 挂钩”和“令牌模拟”,但根据英国 NCSC 的说法,攻击者正在做出有意识的操作安全决策。 没有提供有关受攻击网络或恶意软件背后的人的更多详细信息。