博亚体育app官方网站 APT黑客专揽微软Exchange入侵阿塞拜疆动力行业

一个名为FamousSparrow的黑客组织，悄然渗入一家阿塞拜疆的石油和自然气公司，专揽未打补丁的微软Exchange职业器在里面采集合植入多个后门。

这次袭击从 2025 年 12 月下旬握续到 2026 年 2 月下旬，针对南高加索动力基础纪律的最瞩目标 APT 入侵事件之一。

袭击者三次复返消失台被入侵的Exchange职业器，每次袭击都更换坏心软件家眷，并在谨防者试图捣毁坏心软件时调度计策。

这种握续性标明这是一场策划、握续的间谍行为，而不是一次契机主义的入侵。

开云KaiYun体育中国官网

Bitdefender 盘考东说念主员追踪了该组织的行动，并以中比及高度的置信度将这次入侵归因于 FamousSparrow，同期指出其与 Earth Estries 恐吓集群存在权臣叠加。

跟着俄罗斯与乌克兰的自然气过境公约于2024年到期，以及霍尔木兹海峡在2026岁首可能出现的中断导致替代动力减少，阿塞拜疆已成为欧洲伏击的自然气供应国。

这次行动在不同阶段部署了两种不同的后门关键家眷：Deed RAT 和 Terndoor。袭击者还引入了一种经过改良的 DLL 侧加载技巧，旨在绕过自动化安全分析，尊龙凯时2026世界杯中国官网这种复杂程度在以往与这些坏心软件家眷推断的袭击行为中极为萧疏。

接下来是一系列多档次的行动，进一步加深了分析师对该集团在动力谋略范围影响力的宗旨。

入侵的最早迹象不错纪念到 2025 年 12 月 25 日，那时 Microsoft Exchange IIS 使命程度试图将 Web Shell 写入职业器上可公开造访的目次。

此操作专揽了 ProxyNotShell 症结专揽链，该症结专揽链波及两个被追踪为 CVE-2022-41040 和 CVE-2022-41082 的症结，允许在未打补丁的 Exchange 职业器上现实未经身份考证的良友代码。

在随后的几天里，博亚体育app官方网站袭击者投放了更多文献名诸如 key.aspx、log.aspx、errorFE_.aspx 和 signout_.aspx 之类的 Web Shell。这些 Web Shell 为发出敕令和部署更多灵验载荷提供了可靠的藏身点。

然后，袭击者部署了一个由三个组件构成的坏心软件链，使用伪装成正当 LogMeIn Hamachi VPN 应用关键的文献来裁减怀疑度。

加载文献 LMIGuardianDll.dll 与一个正版 LogMeIn 二进制文献放在一皆，并在平素启动时侧载。Deed RAT 灵验载荷存储在一个名为 .hamachi.lng 的加密文献中，使用 AES-128 和 RC4 算法在内存中解密。

此外，还创建了一个效法 LogMeIn Hamachi 的 Windows 职业，以便在每次重启时自动启动坏心软件，从而锁定握久造访权限。

高档躲闪和多波握续性

这次袭击行为的独到之处在于其选拔了一种改良的DLL侧加载技巧来荫藏Deed RAT加载器。与典型的侧加载模式（即DLL加载后立即触发坏心代码）不同，此版块将其逻辑拆分到两个名为Init和ComMain的导出函数中。

灵验载荷独一在宿主应用关键现实特定的里面调用序列后才会初始，这意味着沙箱在断绝环境下查验该文献时，根底看不到任何坏心步履。

这种联想将感染截止在正当的现实旅途之后。仅查验部分代码的安全器用无法发现任何特出，圆善的袭击步履独一在应用关键通盘按预期初始时才会清楚。这使得该样本在自动化检测经过中更难被发现。

在第二波袭击中，该组织劫握了正当的 deskband_injector64.exe 二进制文献，并部署了一个名为 Terndoor 的后门关键。自然这次袭击被禁绝，但取证效果证明该坏心软件曾试图装置内核驱动关键。

第三波袭击带来了一种修悔改的 Deed RAT，它使用 sentinelonepro[.]com 动作其敕令和限制地址，冒充著名安全厂商以幸免在麇集日记中被检测到。

技巧发扬：

《Famous Sparrow APT 袭击阿塞拜疆石油和自然气行业》博亚体育app官方网站