FamousSparrow APT

Un nuovo gruppo APT (Advanced Persistent Threat) è stato istituito nel panorama dei criminali informatici. È stato scoperto dai ricercatori che lo hanno designato come FamousSparrow APT. Si ritiene che il gruppo sia stato formato intorno al 2019 ed è attivo da allora. Gli attacchi attribuiti a FamousSparrow si concentrano principalmente sulla compromissione dei sistemi informatici degli hotel. In casi selezionati, il gruppo ha anche preso di mira organizzazioni governative, società di ingegneria private e studi legali.

Il profilo delle vittime suggerisce che l'obiettivo principale di FamousSparrow è condurre operazioni di spionaggio informatico. Il gruppo non sembra avere come target una determinata regione geograficain particolare, poiché le vittime sono state rilevate in tutto il mondo, dagli Stati Uniti, dal Brasile, dalla Francia, dall'Inghilterra, dall'Arabia Saudita, dalla Thailandia, da Taiwan e altro ancora.

Catena d'attacco

A marzo, FamousSparrow ha modificato le sue operazioni di attaccorapidamente e ha iniziato a sfruttare le vulnerabilità di Microsoft Exchange note come ProxyLogon. All'epoca, oltre 10 diversi gruppi APT hanno lanciato attacchi per impadronirsi dei server di posta Exchange. Altre vulnerabilità sfruttate dal gruppo interessano Microsoft SharePoint e Oracle Opera.

Dopo aver compromesso la macchina della vittima, FamousSparrow ha implementato due versioni personalizzate di Mimikatz e una minaccia malware backdoor precedentemente sconosciuta denominata SparrowDoor. Inoltre, utilizzano anche un caricatore personalizzato per la backdoor, un'utilità che sembra avere il compito di raccogliere le credenziali e uno scanner NetBIOS.

Connessioni ad altri ATP

Durante la loro indagine, i ricercatori di infosec sono stati in grado di stabilire diverse connessioni tra FamousSparrow e ATP già stabiliti. Ad esempio, in un caso il gruppo ha utilizzato una variante Motnug, che è un caricatore associato al Hacker SparklingGoblin. Su una vittima diversa, i ricercatori hanno trovato una versione attiva di Metasploit che utilizzava un dominio Command-and-Control (C2, C&C) precedentemente collegato al gruppo DRBControl.