PG娱乐电子游戏(中国)IOS|Android|通用APP下载 APT黑客诓骗微软Exchange入侵阿塞拜疆动力行业

一个名为FamousSparrow的黑客组织，悄然渗入一家阿塞拜疆的石油和自然气公司，诓骗未打补丁的微软Exchange干事器在里面采鸠合植入多个后门。

这次报复从 2025 年 12 月下旬捏续到 2026 年 2 月下旬，针对南高加索动力基础措施的最详备的 APT 入侵事件之一。

报复者三次复返吞并台被入侵的Exchange干事器，每次报复皆更换坏心软件家眷，并在防患者试图消除坏心软件时调遣政策。

这种捏续性标明这是一场盘算推算、捏续的间谍行为，而不是一次契机见识的入侵。

Bitdefender 连络东说念主员追踪了该组织的行动，并以中比及高度的置信度将这次入侵归因于 FamousSparrow，同期指出其与 Earth Estries 威迫集群存在显赫重迭。

跟着俄罗斯与乌克兰的自然气过境左券于2024年到期，以及霍尔木兹海峡在2026年头可能出现的中断导致替代动力减少，阿塞拜疆已成为欧洲蹙迫的自然气供应国。

这次行动在不同阶段部署了两种不同的后门重要家眷：Deed RAT 和 Terndoor。报复者还引入了一种经过调动的 DLL 侧加载技艺，旨在绕过自动化安全分析，这种复杂程度在以往与这些坏心软件家眷干系的报复行为中极为生僻。

接下来是一系列多眉目的行动，进一步加深了分析师对该集团在动力筹谋领域影响力的相识。

入侵的最早迹象不错回顾到 2025 年 12 月 25 日，那时 Microsoft Exchange IIS 责任程度试图将 Web Shell 写入干事器上可公开探访的目次。

此操作诓骗了 ProxyNotShell 轻视诓骗链，该轻视诓骗链波及两个被追踪为 CVE-2022-41040 和 CVE-2022-41082 的轻视，允许在未打补丁的 Exchange 干事器上扩充未经身份考据的而已代码。

在随后的几天里，PG娱乐电子游戏(中国)IOS|Android|通用APP下载报复者投放了更多文献名诸如 key.aspx、log.aspx、errorFE_.aspx 和 signout_.aspx 之类的 Web Shell。这些 Web Shell 为发出号召和部署更多有用载荷提供了可靠的藏身点。

然后，报复者部署了一个由三个组件构成的坏心软件链，使用伪装成正当 LogMeIn Hamachi VPN 应用重要的文献来镌汰怀疑度。

加载文献 LMIGuardianDll.dll 与一个正版 LogMeIn 二进制文献放在一说念，并在浅近启动时侧载。Deed RAT 有用载荷存储在一个名为 .hamachi.lng 的加密文献中，使用 AES-128 和 RC4 算法在内存中解密。

此外，还创建了一个师法 LogMeIn Hamachi 的 Windows 干事，以便在每次重启时自动启动坏心软件，从而锁定捏久探访权限。

高等躲藏和多波捏续性

这次报复行为的特有之处在于其领受了一种调动的DLL侧加载技艺来掩藏Deed RAT加载器。与典型的侧加载花样（即DLL加载后立即触发坏心代码）不同，此版块将其逻辑拆分到两个名为Init和ComMain的导出函数中。

有用载荷惟有在宿主应用重要扩充特定的里面调用序列后才会开动，这意味着沙箱在拒绝环境下查抄该文献时，根柢看不到任何坏心行动。

这种遐想将感染物化在正当的扩充旅途之后。仅查抄部分代码的安全器具无法发现任何越过，好意思满的报复行动惟有在应用重要填塞按预期开动时才会披露。这使得该样本在自动化检测经过中更难被发现。

在第二波报复中，该组织劫捏了正当的 deskband_injector64.exe 二进制文献，并部署了一个名为 Terndoor 的后门重要。自然这次报复被紧闭，但取证遵守证据该坏心软件曾试图安设内核驱动重要。

第三波报复带来了一种修悛改的 Deed RAT，它使用 sentinelonepro[.]com 四肢其号召和律例地址，冒充驰名安全厂商以幸免在蚁集日记中被检测到。

技艺叙述：

《Famous Sparrow APT 报复阿塞拜疆石油和自然气行业》PG娱乐电子游戏(中国)IOS|Android|通用APP下载