APT Sparrow Terkenal

Kumpulan APT (Advanced Persistent Threat) baharu telah ditubuhkan di landskap jenayah siber. Ia ditemui oleh penyelidik yang telah menetapkannya sebagai APT FamousSparrow. Kumpulan itu dipercayai ditubuhkan sekitar 2019 dan aktif sejak itu. Serangan yang dikaitkan dengan FamousSparrow tertumpu terutamanya pada menjejaskan sistem komputer hotel. Dalam keadaan tertentu, kumpulan itu juga telah menyasarkan organisasi kerajaan, syarikat kejuruteraan swasta dan firma guaman.

Profil mangsa menunjukkan bahawa matlamat utama FamousSparrow adalah untuk menjalankan operasi pengintipan siber. Kumpulan itu nampaknya tidak menyasarkan wilayah geografi tertentu khususnya, kerana mangsa telah dikesan di seluruh dunia - dari AS, Brazil, Perancis, England, Arab Saudi, Thailand, Taiwan dan banyak lagi.

Rantaian Serangan

Kembali pada bulan Mac, FamousSparrow melaraskan operasi serangannya dengan cepat dan mula mengeksploitasi kelemahan Microsoft Exchange yang dikenali sebagai ProxyLogon. Pada masa itu, lebih 10 kumpulan APT berbeza melancarkan serangan untuk mengambil alih pelayan mel Exchange. Kerentanan lain yang dieksploitasi oleh kumpulan menjejaskan Microsoft SharePoint dan Oracle Opera.

Selepas menjejaskan mesin mangsa, FamousSparrow menggunakan dua versi tersuai Mimikatz dan ancaman perisian hasad pintu belakang yang sebelum ini tidak diketahui bernama SparrowDoor . Selain itu, mereka juga menggunakan pemuat tersuai untuk pintu belakang, utiliti yang nampaknya ditugaskan untuk mengumpulkan bukti kelayakan dan pengimbas NetBIOS.

Sambungan kepada ATP lain

Semasa penyiasatan mereka, penyelidik infosec dapat mewujudkan beberapa hubungan antara FamousSparrow dan ATP yang telah ditubuhkan. Sebagai contoh, dalam satu kes kumpulan itu menggunakan varian Motnug, iaitu pemuat yang dikaitkan dengan SparklingGoblin penggodam. Pada mangsa yang berbeza, penyelidik menemui versi Metasploit aktif yang menggunakan domain Command-and-Control (C2, C&C) yang sebelum ini dipautkan kepada kumpulan DRBControl.