一个名为FamousSparrow的黑客组织，悄然浸透一家阿塞拜疆的石油和自然气公司，运用未打补丁的微软Exchange就业器在里面网罗中植入多个后门。

这次蜿蜒从 2025 年 12 月下旬执续到 2026 年 2 月下旬，针对南高加索动力基础措施的最详确的 APT 入侵事件之一。

蜿蜒者三次复返并吞台被入侵的Exchange就业器，每次蜿蜒齐更换坏心软件家眷，并在精致者试图捣毁坏心软件时调换计策。

这种执续性标明这是一场打算、执续的间谍行为，而不是一次契机见识的入侵。

Bitdefender 接头东说念主员追踪了该组织的行动，并以中比及高度的置信度将这次入侵归因于 FamousSparrow，同期指出其与 Earth Estries 防止集群存在权贵辩论。

跟着俄罗斯与乌克兰的自然气过境契约于2024年到期，以及霍尔木兹海峡在2026年头可能出现的中断导致替代动力减少，阿塞拜疆已成为欧洲伏击的自然气供应国。

这次行动在不同阶段部署了两种不同的后门措施家眷：Deed RAT 和 Terndoor。蜿蜒者还引入了一种经过改动的 DLL 侧加载技能，旨在绕过自动化安全分析，这种复杂程度在以往与这些坏心软件家眷相干的蜿蜒行为中极为生僻。

接下来是一系列多线索的行动，进一步加深了分析师对该集团在动力方针限制影响力的明白。

入侵的最早迹象不错雅致到 2025 年 12 月 25 日，其时 Microsoft Exchange IIS 职责进度试图将 Web Shell 写入就业器上可公开窥察的目次。

此操作运用了 ProxyNotShell 缺陷运用链，该缺陷运用链触及两个被追踪为 CVE-2022-41040 和 CVE-2022-41082 的缺陷，允许在未打补丁的 Exchange 就业器上实施未经身份考据的汉典代码。

在随后的几天里，亚搏体育官方网站 - YABO蜿蜒者投放了更多文献名诸如 key.aspx、log.aspx、errorFE_.aspx 和 signout_.aspx 之类的 Web Shell。这些 Web Shell 为发出号令和部署更多有用载荷提供了可靠的驻足点。

然后，蜿蜒者部署了一个由三个组件构成的坏心软件链，使用伪装成正当 LogMeIn Hamachi VPN 应用措施的文献来裁汰怀疑度。

加载文献 LMIGuardianDll.dll 与一个正版 LogMeIn 二进制文献放在一说念，并在闲居启动时侧载。Deed RAT 有用载荷存储在一个名为 .hamachi.lng 的加密文献中，使用 AES-128 和 RC4 算法在内存中解密。

此外，还创建了一个效法 LogMeIn Hamachi 的 Windows 就业，以便在每次重启时自动启动坏心软件，从而锁定执久窥察权限。

高等侧目和多波执续性

这次蜿蜒行为的独到之处在于其选拔了一种改动的DLL侧加载技能来守密Deed RAT加载器。与典型的侧加载神气（即DLL加载后立即触发坏心代码）不同，此版块将其逻辑拆分到两个名为Init和ComMain的导出函数中。

有用载荷只消在宿主应用措施实施特定的里面调用序列后才会驱动，这意味着沙箱在进攻环境下查验该文献时，根柢看不到任何坏心行径。

这种联想将感染限度在正当的实施旅途之后。仅查验部分代码的安全器具无法发现任何荒谬，完好的蜿蜒行径只消在应用措施透顶按预期驱动时才会流露。这使得该样本在自动化检测经过中更难被发现。

在第二波蜿蜒中，该组织劫执了正当的 deskband_injector64.exe 二进制文献，并部署了一个名为 Terndoor 的后门措施。诚然这次蜿蜒被退却，但取证效果证据该坏心软件曾试图装配内核驱动措施。

第三波蜿蜒带来了一种修自新的 Deed RAT，它使用 sentinelonepro[.]com 算作其号令和抑止地址，冒充知名安全厂商以幸免在网罗日记中被检测到。

技能讲明注解：

《Famous Sparrow APT 蜿蜒阿塞拜疆石油和自然气行业》亚搏·体育app(官方)下载最新IOS/安卓版/手机版APP下载