TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 / 攻撃技術 に関する「個人」の調査・研究

トップ > 攻撃組織: FamousSparrow > You will always remember this as the day you finally caught FamousSparrow

You will always remember this as the day you finally caught FamousSparrow

攻撃組織: FamousSparrow *標的型攻撃 / APT / Cyber Espionage / スピアフィッシング Malware: ShadowPad 攻撃組織: GhostEmperor

【訳】

あなたは、この日を「ついにFamousSparrowを捕まえた日」として、いつまでも覚えていることでしょう


【図表】


図1. このFamousSparrowキャンペーンで使用された侵害チェーンの概要

図2. ネットワーク通信に使用される基本パケットフォーマット

図3. リスト化された各ファイルについて送信される情報のフォーマット
出典: https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/


表1. SparrowDoorのコマンドライン引数

出典: https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/


【要約】

FamousSparrow APTグループは、米国の金融団体やメキシコの研究機関を侵害し、未公開のSparrowDoorバックドアの2つの新バージョンを展開したことがESETによって発見された。これらの新しいバージョンは、以前のものより進化しており、モジュール型で並列処理機能を搭載。また、このグループは初めてShadowPadを使用し、メキシコやホンジュラスなどにも活動を広げている。FamousSparrowは2022年以降、静かな活動を続けていたが、再活発化している。


【ブログ】

◆You will always remember this as the day you finally caught FamousSparrow (WeliveSecurity, 2025/03/26)
[あなたは、この日を「ついにFamousSparrowを捕まえた日」として、いつまでも覚えていることでしょう]
https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/


【詳細】

■ネットワーク情報

IP Domain Hosting provider First seen Details
43.254.216[.]195 - Hongkong Wen Jing Network Limited 2024/06/27 FamousSparrow C&C and download server.
45.131.179[.]24 amelicen[.]com XNNET LLC 2024/07/05 SparrowDoor C&C server.
103.85.25[.]166 - Starry Network Limited 2024/06/06 SparrowDoor C&C server.
216.238.106[.]150 - Vultr Holdings, LLC 2024/03/11 ShadowPad C&C server.

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023