去年,英國國家網絡安全中心(NCSC)在一個未公開的英國網絡上發現了間諜惡意軟件 SparrowDoor 的變種。 今天發布了對該變體的分析,該變體現在可以從剪貼板竊取數據等。 此外,還提供了妥協指標和 Yara 規則,使組織能夠檢測自己網絡中的惡意軟件。
SparrowDoor 的第一個版本是由反病毒公司 ESET 發現的,據說已被用於攻擊世界各地的酒店以及政府。 攻擊者利用 Microsoft Exchange、Microsoft SharePoint 和 Oracle Opera 中的漏洞侵入組織。 受影響的組織位於加拿大、以色列、法國、沙特阿拉伯、台灣、泰國和英國等。 ESET沒有透露攻擊者的具體目標。
英國 NCSC 表示,去年在英國網絡上發現了 SparrowDoor 的變種。 該版本可以從剪貼板竊取數據,並根據硬編碼列表檢查某些防病毒軟件是否正在運行。 此變體還可以在設置網絡連接時模仿用戶帳戶令牌。 這種“降級”很可能是為了不引人注目,例如,如果它在 SYSTEM 帳戶下執行網絡通信,則可能會如此。
另一個新功能是劫持各種 Windows API 函數。 目前尚不清楚該惡意軟件何時使用“API 掛鉤”和“令牌模擬”,但根據英國 NCSC 的說法,攻擊者正在做出有意識的操作安全決策。 沒有提供有關受攻擊網絡或惡意軟件幕後黑手的更多詳細信息。