Slavenais Sparrow APT

Kibernoziedzības jomā ir izveidota jauna APT (Advanced Persistent Threat) grupa. To atklāja pētnieki, kuri to ir apzīmējuši kā FamousSparrow APT. Tiek uzskatīts, ka grupa ir izveidota ap 2019. gadu un darbojas kopš tā laika. Uzbrukumi, kas piedēvēti FamousSparrow, galvenokārt ir vērsti uz viesnīcu datorsistēmu kompromitēšanu. Atsevišķos gadījumos grupa ir vērsta arī uz valdības organizācijām, privātiem inženieru uzņēmumiem un advokātu birojiem.

Upuru profils liecina, ka FamousSparrow galvenais mērķis ir veikt kiberspiegošanas operācijas. Šķiet, ka grupas mērķauditorija nav noteikta noteiktā ģeogrāfiskā reģionā jo īpaši, jo upuri ir atklāti visā pasaulē - no ASV, Brazīlijas, Francijas, Anglijas, Saūda Arābijas, Taizemes, Taivānas un citām.

Uzbrukuma ķēde

Vēl martā FamousSparrow pielāgoja savas uzbrukuma darbības ātri un sāka izmantot Microsoft Exchange ievainojamību, kas pazīstama kā ProxyLogon. Toreiz vairāk nekā 10 dažādas APT grupas uzsāka uzbrukumus, lai pārņemtu Exchange pasta serverus. Citas grupas izmantotās ievainojamības skar Microsoft SharePoint un Oracle Opera.

Pēc upura mašīnas kompromitēšanas FamousSparrow izvietoja divas pielāgotas Mimikatz versijas un iepriekš nezināmu aizmugures durvju ļaunprātīgas programmatūras draudu ar nosaukumu SparrowDoor . Turklāt tie izmanto arī pielāgotu aizmugures durvju ielādētāju, utilītu, kuras uzdevums ir apkopot akreditācijas datus, un NetBIOS skeneri.

Savienojumi ar citiem ATP

Izmeklēšanas laikā infosec pētnieki varēja izveidot vairākus savienojumus starp FamousSparrow un jau izveidotajiem ATP. Piemēram, vienā gadījumā grupa izmantoja Motnug variantu, kas ir iekrāvējs, kas saistīts ar SparklingGoblin hakeri. Citā upura gadījumā pētnieki atrada aktīvu Metasploit versiju, kurā tika izmantots Command-and-Control (C2, C&C) domēns, kas iepriekš bija saistīts ar DRBControl grupu.