FamousSparrow APT

یک گروه جدید APT (تهدید دائمی پیشرفته) در چشم انداز مجرمان سایبری ایجاد شده است. این توسط محققانی که آن را به عنوان FamousSparrow APT تعیین کرده اند، کشف شد. گفته می شود این گروه در حدود سال 2019 تشکیل شده و از آن زمان تاکنون فعال است. حملات منتسب به FamousSparrow عمدتاً بر روی سیستم های کامپیوتری هتل ها به خطر انداخته شده اند. در موارد خاص، این گروه سازمان‌های دولتی، شرکت‌های مهندسی خصوصی و شرکت‌های حقوقی را نیز هدف قرار داده است.

مشخصات قربانیان نشان می دهد که هدف اصلی FamousSparrow انجام عملیات جاسوسی سایبری است. به نظر نمی رسد این گروه منطقه جغرافیایی خاصی را هدف قرار دهد به طور خاص، به عنوان قربانیان در سراسر جهان شناسایی شده است - از ایالات متحده، برزیل، فرانسه، انگلستان، عربستان سعودی، تایلند، تایوان و بیشتر.

زنجیره حمله

در ماه مارس، FamousSparrow عملیات حمله خود را تنظیم کرد به سرعت و شروع به بهره برداری از آسیب پذیری های Microsoft Exchange معروف به ProxyLogon کرد. در آن زمان، بیش از 10 گروه مختلف APT حملاتی را برای تسخیر سرورهای ایمیل Exchange انجام دادند. سایر آسیب پذیری های مورد سوء استفاده این گروه بر Microsoft SharePoint و Oracle Opera تأثیر می گذارد.

پس از به خطر انداختن دستگاه قربانی، FamousSparrow دو نسخه سفارشی Mimikatz و یک تهدید بدافزار پشتی ناشناخته قبلی به نام SparrowDoor را به کار گرفت. علاوه بر این، آنها همچنین از یک لودر سفارشی برای درب پشتی استفاده می کنند، ابزاری که به نظر می رسد وظیفه جمع آوری اعتبارنامه ها و یک اسکنر NetBIOS را بر عهده دارد.

اتصال به سایر ATPها

در طول تحقیقات خود، محققان infosec توانستند چندین ارتباط بین FamousSparrow و ATPهای از قبل تأسیس شده برقرار کنند. به عنوان مثال، در یک مورد، گروه از یک نوع Motnug استفاده کرد که یک لودر مرتبط با آن است هکرهای SparklingGoblin در قربانی دیگری، محققان یک نسخه متاسپلویت فعال را پیدا کردند که از دامنه فرمان و کنترل (C2, C&C) که قبلاً به گروه DRBControl مرتبط شده بود استفاده می کرد.