英國政府發現間諜惡意軟件 SparrowDoor 的新變種

去年，英國國家網絡安全中心（NCSC）在一個未公開的英國網絡上發現了間諜惡意軟件 SparrowDoor 的變種。 今天發布了對該變體的分析，該變體現在可以從剪貼板竊取數據等。 此外，還提供了妥協指標和 Yara 規則，使組織能夠檢測自己網絡中的惡意軟件。

SparrowDoor 的第一個版本是由反病毒公司 ESET 發現的，據說已被用於攻擊世界各地的酒店以及政府。 攻擊者利用 Microsoft Exchange、Microsoft SharePoint 和 Oracle Opera 中的漏洞侵入組織。 受影響的組織位於加拿大、以色列、法國、沙特阿拉伯、台灣、泰國和英國等。 ESET沒有透露攻擊者的具體目標。

英國 NCSC 表示，去年在英國網絡上發現了 SparrowDoor 的變種。 該版本可以從剪貼板竊取數據，並根據硬編碼列表檢查某些防病毒軟件是否正在運行。 此變體還可以在設置網絡連接時模仿用戶帳戶令牌。 這種“降級”很可能是為了不引人注目，例如，如果它在 SYSTEM 帳戶下執行網絡通信，則可能會如此。

另一個新功能是劫持各種 Windows API 函數。 目前尚不清楚該惡意軟件何時使用“API 掛鉤”和“令牌模擬”，但根據英國 NCSC 的說法，攻擊者正在做出有意識的操作安全決策。 沒有提供有關受攻擊網絡或惡意軟件幕後黑手的更多詳細信息。