Kuuluisa Sparrow APT

Uusi APT (Advanced Persistent Threat) -ryhmä on perustettu kyberrikollismaailmaan. Sen löysivät tutkijat, jotka ovat nimenneet sen FamousSparrow APT:ksi. Ryhmän uskotaan syntyneen vuoden 2019 tienoilla ja siitä lähtien toiminut aktiivisesti. FamousSparrow'n syyksi luettavat hyökkäykset keskittyvät pääasiassa hotellien tietokonejärjestelmien vaarantamiseen. Tietyissä tapauksissa ryhmä on kohdentanut myös valtion organisaatioita, yksityisiä suunnitteluyrityksiä ja asianajotoimistoja.

Uhrien profiili viittaa siihen, että FamousSparrow'n päätavoite on kybervakoiluoperaatioiden suorittaminen. Ryhmä ei näytä kohdistavan tietylle maantieteelliselle alueelle erityisesti, koska uhreja on havaittu kaikkialla maailmassa - Yhdysvalloista, Brasiliasta, Ranskasta, Englannista, Saudi-Arabiasta, Thaimaasta, Taiwanista ja muista.

Hyökkäysketju

Maaliskuussa FamousSparrow muutti hyökkäystoimintojaan nopeasti ja alkoi hyödyntää Microsoft Exchangen haavoittuvuuksia, jotka tunnetaan nimellä ProxyLogon. Tuolloin yli 10 eri APT-ryhmää käynnisti hyökkäykset Exchange-sähköpostipalvelimien valtaamiseksi. Muut ryhmän hyödyntämät haavoittuvuudet vaikuttavat Microsoft SharePointiin ja Oracle Operaan.

Uhrin koneen vaarantamisen jälkeen FamousSparrow otti käyttöön kaksi mukautettua versiota Mimikatzista ja aiemmin tuntemattoman takaoven haittaohjelmauhan nimeltä SparrowDoor . Lisäksi he käyttävät myös mukautettua takaoven latausohjelmaa, apuohjelmaa, jonka tehtävänä näyttää olevan valtuustietojen kerääminen, ja NetBIOS-skanneria.

Yhteydet muihin ATP-pisteisiin

Infosec-tutkijat pystyivät tutkimuksensa aikana saamaan useita yhteyksiä FamousSparrow'n ja jo vakiintuneiden ATP:iden välille. Esimerkiksi yhdessä tapauksessa ryhmä käytti Motnug-varianttia, joka on lataaja, joka liittyy SparklingGoblin- hakkerit. Toisesta uhrista tutkijat löysivät aktiivisen Metasploit-version, joka käytti Command-and-Control (C2, C&C) -verkkotunnusta, joka oli aiemmin linkitetty DRBControl-ryhmään.