一个名为FamousSparrow的黑客组织，悄然浸透一家阿塞拜疆的石油和自然气公司，应用未打补丁的微软Exchange作事器在里面汇鸠集植入多个后门。

这次报复从 2025 年 12 月下旬执续到 2026 年 2 月下旬，针对南高加索动力基础要领的最详备的 APT 入侵事件之一。

报复者三次复返合并台被入侵的Exchange作事器，每次报复都更换坏心软件眷属，并在精细者试图拆除坏心软件时移动政策。

这种执续性标明这是一场狡计、执续的间谍举止，而不是一次契机认识的入侵。

Bitdefender 研讨东说念主员追踪了该组织的行动，并以中比及高度的置信度将这次入侵归因于 FamousSparrow，同期指出其与 Earth Estries 胁迫集群存在显赫重复。

跟着俄罗斯与乌克兰的自然气过境公约于2024年到期，以及霍尔木兹海峡在2026年头可能出现的中断导致替代动力减少，阿塞拜疆已成为欧洲进犯的自然气供应国。

这次行动在不同阶段部署了两种不同的后门体式眷属：Deed RAT 和 Terndoor。报复者还引入了一种经过修订的 DLL 侧加载工夫，旨在绕过自动化安全分析，这种复杂程度在以往与这些坏心软件眷属关联的报复举止中极为生僻。

接下来是一系列多脉络的行动，进一步加深了分析师对该集团在动力谋划限度影响力的富厚。

入侵的最早迹象不错记忆到 2025 年 12 月 25 日，其时 Microsoft Exchange IIS 责任进度试图将 Web Shell 写入作事器上可公开走访的目次。

此操作应用了 ProxyNotShell 瑕玷应用链，该瑕玷应用链触及两个被追踪为 CVE-2022-41040 和 CVE-2022-41082 的瑕玷，允许在未打补丁的 Exchange 作事器上扩张未经身份考证的良友代码。

在随后的几天里，2026世界杯官网入口报复者投放了更多文献名诸如 key.aspx、log.aspx、errorFE_.aspx 和 signout_.aspx 之类的 Web Shell。这些 Web Shell 为发出高歌和部署更多灵验载荷提供了可靠的立足点。

然后，报复者部署了一个由三个组件构成的坏心软件链，使用伪装成正当 LogMeIn Hamachi VPN 应用体式的文献来缩短怀疑度。

加载文献 LMIGuardianDll.dll 与一个正版 LogMeIn 二进制文献放在一皆，并在平时启动时侧载。Deed RAT 灵验载荷存储在一个名为 .hamachi.lng 的加密文献中，使用 AES-128 和 RC4 算法在内存中解密。

此外，还创建了一个效法 LogMeIn Hamachi 的 Windows 作事，以便在每次重启时自动启动坏心软件，从而锁定执久走访权限。

高等侧目和多波执续性

这次报复举止的专有之处在于其接受了一种修订的DLL侧加载工夫来遮蔽Deed RAT加载器。与典型的侧加载格式（即DLL加载后立即触发坏心代码）不同，此版块将其逻辑拆分到两个名为Init和ComMain的导出函数中。

灵验载荷唯有在宿主应用体式扩张特定的里面调用序列后才会开动，这意味着沙箱在贫困环境下查验该文献时，压根看不到任何坏心步履。

这种假想将感染限制在正当的扩张旅途之后。仅查验部分代码的安全器用无法发现任何相配，齐备的报复步履唯有在应用体式整个按预期开动时才会表示。这使得该样本在自动化检测经过中更难被发现。

在第二波报复中，该组织劫执了正当的 deskband_injector64.exe 二进制文献，并部署了一个名为 Terndoor 的后门体式。诚然这次报复被不容，但取证遵守确认该坏心软件曾试图装配内核驱动体式。

第三波报复带来了一种修悛改的 Deed RAT，它使用 sentinelonepro[.]com 动作其高歌和限度地址，冒充闻明安全厂商以幸免在汇集日记中被检测到。

工夫报告：

《Famous Sparrow APT 报复阿塞拜疆石油和自然气行业》2026FIFA世界杯中国官网