Įžymusis Sparrow APT

Kibernetinių nusikaltimų srityje buvo įkurta nauja APT (Advanced Persistent Threat) grupė. Jį atrado mokslininkai, kurie jį pavadino FamousSparrow APT. Manoma, kad grupė susikūrė apie 2019 m. ir veikia nuo tada. „FamousSparrow“ priskiriamos atakos daugiausia nukreiptos į viešbučių kompiuterių sistemų pažeidimą. Tam tikrais atvejais grupė taip pat yra nukreipta į vyriausybines organizacijas, privačias inžinerines įmones ir advokatų kontoras.

Aukų profilis rodo, kad pagrindinis FamousSparrow tikslas yra vykdyti kibernetinio šnipinėjimo operacijas. Atrodo, kad grupė netaikoma pagal tam tikrą geografinį regioną konkrečiai, nes aukų buvo aptikta visame pasaulyje – iš JAV, Brazilijos, Prancūzijos, Anglijos, Saudo Arabijos, Tailando, Taivano ir kt.

Atakos grandinė

Dar kovo mėnesį „FamousSparrow“ pakoregavo savo puolimo operacijas greitai ir pradėjo išnaudoti Microsoft Exchange spragas, žinomas kaip ProxyLogon. Tada daugiau nei 10 skirtingų APT grupių pradėjo atakas, kad perimtų Exchange pašto serverius. Kiti pažeidžiamumai, kuriais pasinaudojo grupė, turi įtakos Microsoft SharePoint ir Oracle Opera.

Sukompromitavęs aukos mašiną, FamousSparrow įdiegė dvi pasirinktines Mimikatz versijas ir anksčiau nežinomą užpakalinių durų kenkėjiškos programos grėsmę, pavadintą SparrowDoor . Be to, jie taip pat naudoja pasirinktinį užpakalinių durų įkroviklį, įrankį, kuriam, atrodo, pavesta rinkti kredencialus, ir NetBIOS skaitytuvą.

Ryšiai su kitais ATP

Tyrimo metu infosec tyrėjai sugebėjo nustatyti keletą ryšių tarp FamousSparrow ir jau nustatytų ATP. Pavyzdžiui, vienu atveju grupė naudojo Motnug variantą, kuris yra krautuvas, susietas su SparklingGoblin įsilaužėliai. Kitoje aukoje tyrėjai rado aktyvią Metasploit versiją, kuri naudojo komandų ir valdymo (C2, C&C) domeną, anksčiau susietą su DRBControl grupe.