FamousSparrow APT

साइबर क्रिमिनल परिदृश्य पर एक नया एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह स्थापित किया गया है। यह उन शोधकर्ताओं द्वारा खोजा गया जिन्होंने इसे FamousSparrow APT के रूप में नामित किया है। माना जाता है कि समूह 2019 के आसपास बना था और तब से सक्रिय है। फेमस स्पैरो के लिए जिम्मेदार हमले मुख्य रूप से होटल कंप्यूटर सिस्टम से समझौता करने पर केंद्रित हैं। चुनिंदा उदाहरणों में, समूह ने सरकारी संगठनों, निजी इंजीनियरिंग कंपनियों और कानून फर्मों को भी निशाना बनाया है।

पीड़ितों के प्रोफाइल से पता चलता है कि फेमस स्पैरो का मुख्य लक्ष्य साइबर जासूसी ऑपरेशन करना है। ऐसा लगता है कि यह समूह किसी खास भौगोलिक क्षेत्र को लक्षित नहीं कर रहा हैविशेष रूप से, जैसा कि दुनिया भर में पीड़ितों का पता चला है - अमेरिका, ब्राजील, फ्रांस, इंग्लैंड, सऊदी अरब, थाईलैंड, ताइवान और अन्य से।

अटैक चेन

मार्च में वापस, फेमसस्पैरो ने अपने हमले के संचालन को समायोजित कियाजल्दी से और ProxyLogon के रूप में ज्ञात Microsoft Exchange कमजोरियों का शोषण करना शुरू कर दिया। इसके बाद, एक्सचेंज मेल सर्वर पर कब्जा करने के लिए 10 से अधिक विभिन्न एपीटी समूहों ने हमले शुरू किए। समूह द्वारा शोषित अन्य सुभेद्यताएँ Microsoft SharePoint और Oracle Opera को प्रभावित करती हैं।

पीड़ित की मशीन से समझौता करने के बाद, फेमसस्पैरो ने Mimikatz के दो कस्टम संस्करण और SparrowDoor नामक एक पूर्व अज्ञात पिछले दरवाजे मैलवेयर खतरे को तैनात किया । इसके अलावा, वे पिछले दरवाजे के लिए एक कस्टम लोडर का भी उपयोग करते हैं, एक उपयोगिता जिसे क्रेडेंशियल इकट्ठा करने का काम सौंपा जाता है, और एक नेटबीओएस स्कैनर।

अन्य एटीपी से कनेक्शन

अपनी जांच के दौरान, इन्फोसेक के शोधकर्ता फेमसस्पैरो और पहले से स्थापित एटीपी के बीच कई संबंध स्थापित करने में सक्षम थे। उदाहरण के लिए, एक मामले में समूह ने एक मोटनुग संस्करण का उपयोग किया, जो कि से जुड़ा एक लोडर है SparklingGoblin हैकर्स। एक अलग शिकार पर, शोधकर्ताओं ने एक सक्रिय मेटास्प्लोइट संस्करण पाया जो पहले डीआरबीकंट्रोल समूह से जुड़े कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) डोमेन का उपयोग करता था।