FamousSparrow APT

Der er etableret en ny APT -gruppe (Advanced Persistent Threat) om det cyberkriminelle landskab. Det blev opdaget af forskere, der har betegnet det som FamousSparrow APT. Gruppen menes at være dannet omkring 2019 og har været aktiv siden da. De angreb, der tilskrives FamousSparrow, er hovedsageligt fokuseret på at kompromittere hotelcomputersystemer. I udvalgte tilfælde har gruppen også målrettet regeringsorganisationer, private ingeniørvirksomheder og advokatfirmaer.

Ofrenes profil tyder på, at FamousSparrows hovedmål er at udføre cyberspionageoperationer. Gruppen ser ikke ud til at være målrettet mod en bestemt geografisk regionspecifikt, da ofre er blevet opdaget over hele verden - fra USA, Brasilien, Frankrig, England, Saudi -Arabien, Thailand, Taiwan og mere.

Angrebskæde

Tilbage i marts justerede FamousSparrow sine angrebsoperationerhurtigt og begyndte at udnytte Microsoft Exchange -sårbarheder kendt som ProxyLogon. Dengang iværksatte over 10 forskellige APT -grupper angreb for at overtage Exchange -mailservere. Andre sårbarheder, som gruppen udnytter, påvirker Microsoft SharePoint og Oracle Opera.

Efter at have kompromitteret offerets maskine, implementerede FamousSparrow to brugerdefinerede versioner af Mimikatz og en tidligere ukendt malware -trussel med bagdør ved navn SparrowDoor. Derudover bruger de også en brugerdefineret læsser til bagdøren, et værktøj, der ser ud til at have til opgave at indsamle legitimationsoplysninger, og en NetBIOS -scanner.

Forbindelser til andre ATP'er

Under deres undersøgelse kunne infosec -forskere etablere flere forbindelser mellem FamousSparrow og allerede etablerede ATP'er. For eksempel brugte gruppen i et tilfælde en Motnug -variant, som er en loader tilknyttet MousserendeGoblin hackere. På et andet offer fandt forskerne en aktiv Metasploit-version, der brugte et Command-and-Control (C2, C&C) domæne, der tidligere var knyttet til DRBControl-gruppen.