FamousSparrow APT
קבוצת APT (Advanced Persistent Threat) חדשה הוקמה על נוף עברייני הסייבר. הוא התגלה על ידי חוקרים שהגדירו אותו כ-FamousSparrow APT. ההערכה היא שהקבוצה הוקמה בסביבות 2019 והיא פעילה מאז. ההתקפות המיוחסות ל-FamousSparrow מתמקדות בעיקר בפגיעה במערכות מחשוב בבתי מלון. במקרים נבחרים, הקבוצה פנתה גם לארגונים ממשלתיים, חברות הנדסה פרטיות ומשרדי עורכי דין.
פרופיל הקורבנות מעיד שהמטרה העיקרית של FamousSparrow היא לנהל פעולות ריגול סייבר. נראה שהקבוצה לא מכוונת לאזור גיאוגרפי מסוים במיוחד, מכיוון שקורבנות זוהו בכל רחבי העולם - מארה"ב, ברזיל, צרפת, אנגליה, ערב הסעודית, תאילנד, טייוואן ועוד.
שרשרת התקפה
עוד במרץ, FamousSparrow התאימה את פעולות ההתקפה שלה במהירות והחל לנצל את הפגיעויות של Microsoft Exchange הידועות בשם ProxyLogon. אז, למעלה מ-10 קבוצות APT שונות פתחו בהתקפות כדי להשתלט על שרתי דואר של Exchange. נקודות תורפה אחרות המנוצלות על ידי הקבוצה משפיעות על Microsoft SharePoint ו-Oracle Opera.
לאחר התפשרות על המחשב של הקורבן, FamousSparrow פרסה שתי גרסאות מותאמות אישית של Mimikatz ואיום תוכנה זדונית לא ידוע בעבר בשם SparrowDoor . בנוסף, הם גם משתמשים בטעינה מותאמת אישית עבור הדלת האחורית, כלי עזר שנראה כמשימה לאסוף אישורים, וסורק NetBIOS.
חיבורים ל-ATPs אחרים
במהלך חקירתם, חוקרי infosec הצליחו לבסס מספר קשרים בין FamousSparrow ל-ATP שכבר הוקם. לדוגמה, במקרה אחד הקבוצה השתמשה בגרסה של Motnug, שהיא מטעין המשויך ל- האקרים SparklingGoblin. על קורבן אחר, החוקרים מצאו גרסת Metasploit פעילה שהשתמשה בדומיין Command-and-Control (C2, C&C) מקושר בעבר לקבוצת DRBControl.
