HíresSparrow APT

Új APT (Advanced Persistent Threat) csoport jött létre a kiberbûnözõ tájakon. Kutatók fedezték fel, akik a FamousSparrow APT-nek nevezték el. A csoport vélhetően 2019 körül alakult, és azóta is aktív. A FamousSparrow-nak tulajdonított támadások főként a szállodai számítógépes rendszerek kompromittálására irányulnak. Bizonyos esetekben a csoport kormányzati szervezeteket, magánmérnöki társaságokat és ügyvédi irodákat is megcéloz.

Az áldozatok profilja azt sugallja, hogy a FamousSparrow fő célja kiberkémkedési műveletek végrehajtása. Úgy tűnik, hogy a csoport nem egy bizonyos földrajzi régiót céloz meg Pontosabban, mivel a világ minden tájáról észleltek áldozatokat – az Egyesült Államokból, Brazíliából, Franciaországból, Angliából, Szaúd-Arábiából, Thaiföldről, Tajvanról stb.

Támadási lánc

Még márciusban a FamousSparrow módosította támadási műveleteit gyorsan, és elkezdte kihasználni a Microsoft Exchange ProxyLogon néven ismert sebezhetőségét. Akkoriban több mint 10 különböző APT-csoport indított támadást, hogy átvegye az Exchange levelezőszervereit. A csoport által kihasznált egyéb biztonsági rések a Microsoft SharePoint és az Oracle Operát érintik.

Miután feltörte az áldozat gépét, a FamousSparrow bevetette a Mimikatz két egyedi verzióját és egy korábban ismeretlen, SparrowDoor nevű, backdoor kártevőt. Ezenkívül egy egyéni betöltőt is használnak a hátsó ajtóhoz, egy segédprogramot, amely a jelek szerint a hitelesítő adatok gyűjtésére van bízva, valamint egy NetBIOS szkennert.

Kapcsolatok más ATP-kkel

Vizsgálatuk során az infosec kutatóknak több kapcsolatot is sikerült megállapítaniuk a FamousSparrow és a már kialakult ATP-k között. Például az egyik esetben a csoport egy Motnug-változatot használt, amely egy betöltő, amely a SparklingGoblin hackerek. Egy másik áldozaton a kutatók egy aktív Metasploit verziót találtak, amely a DRBControl csoporthoz korábban kapcsolt Command-and-Control (C2, C&C) tartományt használt.