Kuulus Sparrow APT

Küberkuritegevuse maastikul on loodud uus APT (Advanced Persistent Threat) rühm. Selle avastasid teadlased, kes nimetasid selle FamousSparrow APT-ks. Arvatakse, et rühmitus loodi umbes 2019. aastal ja on sellest ajast aktiivne. FamousSparrow'le omistatud rünnakud on suunatud peamiselt hotelli arvutisüsteemide kompromiteerimisele. Teatud juhtudel on rühm võtnud sihikule ka valitsusasutused, erainsenerifirmad ja advokaadibürood.

Ohvrite profiil viitab sellele, et FamousSparrow peamine eesmärk on küberspionaažioperatsioonide läbiviimine. Näib, et rühm ei sihi teatud geograafilist piirkonda täpsemalt, kuna ohvreid on avastatud kõikjal maailmas – USA-st, Brasiiliast, Prantsusmaalt, Inglismaalt, Saudi Araabiast, Taist, Taiwanist ja mujalt.

Rünnakett

Märtsis kohandas FamousSparrow oma rünnakuoperatsioone kiiresti ja hakkas kasutama Microsoft Exchange'i turvaauke, mida tuntakse kui ProxyLogon. Sel ajal algatas enam kui 10 erinevat APT rühma rünnakuid Exchange'i meiliserverite ülevõtmiseks. Teised grupi poolt ära kasutatud haavatavused mõjutavad Microsoft SharePointi ja Oracle Opera.

Pärast järeleandmisi ohvri masin, FamousSparrow kasutusele kaks kohandatud versioone Mimikatz ja varem tundmatu tagauks pahavara ohustab nimega SparrowDoor . Lisaks kasutavad nad ka kohandatud laadurit tagaukse jaoks, utiliiti, mille ülesandeks näib olevat mandaatide kogumine, ja NetBIOS-i skannerit.

Ühendused teiste ATP-dega

Uurimise käigus suutsid infoseci teadlased tuvastada mitmeid seoseid FamousSparrow ja juba väljakujunenud ATP-de vahel. Näiteks ühel juhul kasutas rühm Motnugi varianti, mis on laaduriga seotud SparklingGoblin häkkerid. Teise ohvri puhul leidsid teadlased aktiivse Metasploiti versiooni, mis kasutas Command-and-Control (C2, C&C) domeeni, mis oli varem seotud DRBControli rühmaga.