FamousSparrow APT

Nova grupa APT (Advanced Persistent Threat) uspostavljena je na području kibernetičkog kriminala. Otkrili su ga istraživači koji su ga označili kao FamousSparrow APT. Vjeruje se da je grupa nastala oko 2019. godine i da je aktivna od tada. Napadi koji se pripisuju FamousSparrowu uglavnom su usmjereni na kompromitiranje hotelskih računalnih sustava. U odabranim slučajevima, grupa je također ciljana na vladine organizacije, privatne inženjerske tvrtke i odvjetničke tvrtke.

Profil žrtava sugerira da je glavni cilj FamousSparrowa provođenje operacija kibernetičke špijunaže. Čini se da grupa ne cilja određenu geografsku regiju konkretno, jer su žrtve otkrivene diljem svijeta - iz SAD-a, Brazila, Francuske, Engleske, Saudijske Arabije, Tajlanda, Tajvana i još mnogo toga.

Lanac napada

Još u ožujku, FamousSparrow je prilagodio svoje napadne operacije brzo i počeo iskorištavati ranjivosti Microsoft Exchangea poznate kao ProxyLogon. Tada je više od 10 različitih APT grupa pokrenulo napade kako bi preuzeli Exchange poslužitelje pošte. Ostale ranjivosti koje grupa iskorištava utječu na Microsoft SharePoint i Oracle Opera.

Nakon što je kompromitirao žrtvin stroj, FamousSparrow je implementirao dvije prilagođene verzije Mimikatza i prethodno nepoznatu prijetnju zlonamjernog softvera na pozadini pod nazivom SparrowDoor. Osim toga, oni također koriste prilagođeni učitavač za backdoor, uslužni program koji izgleda da ima zadatak prikupljanja vjerodajnica i NetBIOS skener.

Veze s drugim ATP-ovima

Tijekom svoje istrage, istraživači infoseca uspjeli su uspostaviti nekoliko veza između FamousSparrowa i već uspostavljenih ATP-ova. Na primjer, u jednom slučaju grupa je koristila Motnug varijantu, što je utovarivač povezan s SparklingGoblin hakeri. Na drugoj žrtvi, istraživači su pronašli aktivnu verziju Metasploita koja je koristila Command-and-Control (C2, C&C) domenu prethodno povezanu s grupom DRBControl.