Llicències per a diversos dispositius (descomptes per volum)
Threat Database Advanced Persistent Threat (APT) Famous Sparrow APT

Famous Sparrow APT

El Mezo el Advanced Persistent Threat (APT)
Traduir a:
Català

S'ha establert un nou grup APT (Advanced Persistent Threat) en el panorama cibercriminal. Va ser descobert per investigadors que l'han designat com el FamousSparrow APT. Es creu que el grup es va formar cap al 2019 i està actiu des de llavors. Els atacs atribuïts a FamousSparrow se centren principalment en comprometre els sistemes informàtics dels hotels. En casos selectes, el grup també s'ha dirigit a organitzacions governamentals, empreses privades d'enginyeria i despatxos d'advocats.

El perfil de les víctimes suggereix que l'objectiu principal de FamousSparrow és dur a terme operacions de ciberespionatge. Sembla que el grup no està orientat a una regió geogràfica determinada concretament, ja que s'han detectat víctimes a tot el món: des dels EUA, Brasil, França, Anglaterra, Aràbia Saudita, Tailàndia, Taiwan i més.

Cadena d'atac

Al març, FamousSparrow va ajustar les seves operacions d'atac ràpidament i va començar a explotar les vulnerabilitats de Microsoft Exchange conegudes com a ProxyLogon. Aleshores, més de 10 grups APT diferents van llançar atacs per fer-se càrrec dels servidors de correu Exchange. Altres vulnerabilitats explotades pel grup afecten Microsoft SharePoint i Oracle Opera.

Després de comprometre la màquina de la víctima, FamousSparrow va desplegar dues versions personalitzades de Mimikatz i una amenaça de programari maliciós de porta posterior desconeguda anomenada SparrowDoor . A més, també utilitzen un carregador personalitzat per a la porta posterior, una utilitat que sembla encarregada de reunir credencials i un escàner NetBIOS.

Connexions amb altres ATP

Durant la seva investigació, els investigadors d'infosec van poder establir diverses connexions entre FamousSparrow i ATP ja establerts. Per exemple, en un cas el grup va utilitzar una variant de Motnug, que és un carregador associat amb el Hackers de SparklingGoblin. En una víctima diferent, els investigadors van trobar una versió activa de Metasploit que utilitzava un domini Command-and-Control (C2, C&C) prèviament vinculat al grup DRBControl.

Tendència

Més vist

Carregant...