FamousSparrow APT

تم إنشاء مجموعة APT (التهديد المستمر المتقدم) على مشهد المجرمين الإلكترونيين. تم اكتشافه من قبل الباحثين الذين أطلقوا عليه اسم FamousSparrow APT. يُعتقد أن المجموعة قد تشكلت في حوالي عام 2019 وهي نشطة منذ ذلك الحين. الهجمات المنسوبة إلى FamousSparrow تركز بشكل أساسي على اختراق أنظمة كمبيوتر الفندق. في حالات مختارة ، استهدفت المجموعة أيضًا مؤسسات حكومية وشركات هندسية خاصة وشركات محاماة.

يشير الملف الشخصي للضحايا إلى أن الهدف الرئيسي لـ FamousSparrow هو إجراء عمليات تجسس إلكتروني. لا يبدو أن المجموعة تستهدف منطقة جغرافية معينة على وجه التحديد ، حيث تم اكتشاف ضحايا في جميع أنحاء العالم - من الولايات المتحدة والبرازيل وفرنسا وإنجلترا والمملكة العربية السعودية وتايلاند وتايوان وغيرها.

سلسلة الهجوم

مرة أخرى في شهر مارس ، قامت شركة FamousSparrow بتعديل عملياتها الهجومية بسرعة وبدأت في استغلال الثغرات الأمنية في Microsoft Exchange المعروفة باسم ProxyLogon. في ذلك الوقت ، أطلقت أكثر من 10 مجموعات مختلفة من APT هجمات للسيطرة على خوادم بريد Exchange. تؤثر الثغرات الأمنية الأخرى التي استغلتها المجموعة على Microsoft SharePoint و Oracle Opera.

بعد اختراق جهاز الضحية ، نشر موقع FamousSparrow نسختين مخصصتين من Mimikatz وتهديد من البرامج الضارة الخلفية غير معروف سابقًا باسم SparrowDoor . بالإضافة إلى ذلك ، يستخدمون أيضًا أداة تحميل مخصصة للباب الخلفي ، وهي أداة يبدو أنها مكلفة بجمع بيانات الاعتماد وماسح ضوئي NetBIOS.

اتصالات مع ATPs الأخرى

خلال تحقيقهم ، تمكن باحثو إنفوسك من إنشاء عدة صلات بين فايموسبارو و ATPs المنشأة بالفعل. على سبيل المثال ، في إحدى الحالات ، استخدمت المجموعة متغير Motnug ، وهو أداة تحميل مرتبطة بـ قراصنة SparklingGoblin. على ضحية مختلفة ، وجد الباحثون نسخة Metasploit نشطة تستخدم مجال القيادة والتحكم (C2 ، C&C) المرتبط سابقًا بمجموعة DRBControl.