FamousSparrow APT

En ny APT-gruppe (Advanced Persistent Threat) er etablert om det cyberkriminelle landskapet. Det ble oppdaget av forskere som har utpekt det som FamousSparrow APT. Gruppen antas å ha blitt dannet rundt 2019 og har vært aktiv siden den gang. Angrepene som tilskrives FamousSparrow er hovedsakelig fokusert på å kompromittere hotelldatasystemer. I utvalgte tilfeller har gruppen også målrettet mot offentlige organisasjoner, private ingeniørfirmaer og advokatfirmaer.

Profilen til ofrene antyder at hovedmålet til FamousSparrow er å drive nettspionasjeoperasjoner. Det ser ikke ut til at gruppen målretter seg mot en bestemt geografisk region spesifikt, ettersom ofre har blitt oppdaget over hele verden - fra USA, Brasil, Frankrike, England, Saudi-Arabia, Thailand, Taiwan og mer.

Angrepskjede

Tilbake i mars justerte FamousSparrow sine angrepsoperasjoner raskt og begynte å utnytte Microsoft Exchange-sårbarhetene kjent som ProxyLogon. Den gang startet over 10 forskjellige APT-grupper angrep for å overta Exchange-postservere. Andre sårbarheter som utnyttes av gruppen påvirker Microsoft SharePoint og Oracle Opera.

Etter å ha kompromittert offerets maskin, distribuerte FamousSparrow to tilpassede versjoner av Mimikatz og en tidligere ukjent bakdør-malware-trussel kalt SparrowDoor . I tillegg bruker de også en tilpasset laster for bakdøren, et verktøy som ser ut til å ha i oppgave å samle inn legitimasjon, og en NetBIOS-skanner.

Tilkoblinger til andre ATP-er

Under undersøkelsen deres klarte infosec-forskere å etablere flere forbindelser mellom FamousSparrow og allerede etablerte ATP-er. For eksempel, i ett tilfelle brukte gruppen en Motnug-variant, som er en laster knyttet til SparklingGoblin hackere. På et annet offer fant forskerne en aktiv Metasploit-versjon som brukte et Command-and-Control-domene (C2, C&C) tidligere knyttet til DRBControl-gruppen.