Slavný Sparrow APT

Byla zřízena nová skupina APT (Advanced Persistent Threat) pro oblast kyberzločinců. Objevili jej výzkumníci, kteří jej označili jako FamousSparrow APT. Předpokládá se, že skupina vznikla kolem roku 2019 a od té doby je aktivní. Útoky připisované FamousSparrowovi se zaměřují především na kompromitování hotelových počítačových systémů. Ve vybraných případech se skupina zaměřila také na vládní organizace, soukromé inženýrské společnosti a právnické firmy.

Profil obětí naznačuje, že hlavním cílem FamousSparrow je provádět kyberšpionážní operace. Zdá se, že skupina necílí na určitou geografickou oblast konkrétně, protože oběti byly zjištěny po celém světě – z USA, Brazílie, Francie, Anglie, Saúdské Arábie, Thajska, Tchaj-wanu a dalších.

Útočný řetězec

V březnu FamousSparrow upravil své útočné operace rychle a začal využívat zranitelnosti serveru Microsoft Exchange známé jako ProxyLogon. Tehdy více než 10 různých skupin APT zahájilo útoky, aby ovládly poštovní servery Exchange. Další zranitelnosti zneužité skupinou ovlivňují Microsoft SharePoint a Oracle Opera.

Po kompromitaci stroje oběti nasadil FamousSparrow dvě vlastní verze Mimikatz a dříve neznámou hrozbu backdoor malwaru jménem SparrowDoor . Kromě toho také využívají vlastní zavaděč pro zadní vrátka, nástroj, který se zdá být pověřen shromažďováním přihlašovacích údajů, a skener NetBIOS.

Připojení k jiným ATP

Během svého vyšetřování byli výzkumníci společnosti Infosec schopni navázat několik spojení mezi FamousSparrow a již zavedenými ATP. Například v jednom případě skupina použila variantu Motnug, což je nakladač spojený s SparklingGoblin hackeři. U jiné oběti vědci našli aktivní verzi Metasploit, která používala doménu Command-and-Control (C2, C&C), která byla dříve spojena se skupinou DRBControl.