FamousSparrow APT

Създадена е нова група APT (Advanced Persistent Threat) върху киберпрестъпната среда. Той е открит от изследователи, които са го определили като FamousSparrow APT. Смята се, че групата е сформирана около 2019 г. и е активна оттогава. Атаките, приписвани на FamousSparrow, са насочени главно към компрометиране на хотелските компютърни системи. В избрани случаи групата също е насочена към правителствени организации, частни инженерни компании и адвокатски кантори.

Профилът на жертвите предполага, че основната цел на FamousSparrow е да провежда кибершпионажни операции. Изглежда, че групата не е насочена към определен географски регионпо -специално, тъй като жертвите са били открити по целия свят - от САЩ, Бразилия, Франция, Англия, Саудитска Арабия, Тайланд, Тайван и др.

Атакова верига

Още през март FamousSparrow коригира атаките сибързо и започна да използва уязвимостите на Microsoft Exchange, известни като ProxyLogon. Тогава над 10 различни групи APT стартираха атаки, за да поемат пощенските сървъри на Exchange. Други уязвимости, експлоатирани от групата, засягат Microsoft SharePoint и Oracle Opera.

След като компрометира машината на жертвата, FamousSparrow внедри две персонализирани версии на Mimikatz и неизвестна досега заплаха от зловреден софтуер, наречена SparrowDoor . В допълнение, те също използват персонализиран товарач за задната врата, помощна програма, която изглежда е натоварена със събирането на идентификационни данни, и скенер NetBIOS.

Връзки с други ATP

По време на разследването си изследователите на infosec успяха да установят няколко връзки между FamousSparrow и вече установени АТФ. Например в един случай групата използва вариант Motnug, който е товарач, свързан с SparklingGoblin хакери. На друга жертва изследователите откриха активна версия на Metasploit, която използва домейн Command-and-Control (C2, C&C), свързан преди това с групата DRBControl.