image

Britse overheid ontdekt nieuwe variant van spionagemalware SparrowDoor

maandag 25 april 2022, 15:59 door Redactie, 0 reacties

Het Britse National Cyber Security Centre (NCSC) heeft vorig jaar een variant van de spionagemalware SparrowDoor op een niet nader genoemd Brits netwerk aangetroffen. Vandaag is een analyse van de variant gepubliceerd, die onder andere nu gegevens uit het clipboard kan stelen. Daarnaast zijn er indicators of compromise en Yara-rules beschikbaar gemaakt waarmee organisaties de malware binnen hun eigen netwerk kunnen detecteren.

De eerste versie van SparrowDoor werd ontdekt door antivirusbedrijf ESET en zou onder andere tegen hotels wereldwijd zijn ingezet, alsmede tegen overheden. De aanvallers maakten gebruik van kwetsbaarheden in Microsoft Exchange, Microsoft SharePoint en Oracle Opera om bij organisaties in te breken. Getroffen organisaties bevonden zich onder andere in Canada, Israël, Frankrijk, Saudi-Arabië, Taiwan, Thailand en het Verenigd Koninkrijk. Wat het exacte doel van de aanvallers is liet ESET niet weten.

Het Britse NCSC zegt dat het vorig jaar op een Brits netwerk een variant van SparrowDoor heeft aangetroffen. Deze versie kan data uit het clipboard stelen en controleert aan de hand van een hardcoded lijst of bepaalde antivirussoftware draait. Ook kan deze variant bij het opzetten van netwerkverbindingen het user account token imiteren. Waarschijnlijk wordt deze "downgrade" uitgevoerd om niet op te vallen, wat wel zo zou kunnen zijn als het bijvoorbeeld netwerkcommunicatie onder het SYSTEM-account zou uitvoeren.

Een andere nieuwe eigenschap is het kapen van verschillende Windows API-functies. Wanneer de malware van "API hooking" en "token impersonation" gebruikmaakt is niet duidelijk, maar volgens het Britse NCSC maken de aanvallers bewuste operationele security-beslissingen. Verdere details over het aangevallen netwerk of wie erachter de malware zit worden niet gegeven.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.