प्रसिद्ध स्प्यारो एपीटी

साइबर क्रिमिनल ल्यान्डस्केपमा नयाँ APT (Advanced Persistent Threat) समूह स्थापना गरिएको छ। यसलाई फेमसस्प्यारो एपीटी भनेर तोकेका अनुसन्धानकर्ताहरूले पत्ता लगाएका थिए। यो समूह सन् २०१९ मा गठन भएको र त्यसयता सक्रिय रहेको अनुमान गरिएको छ । FamousSparrow लाई श्रेय दिएका आक्रमणहरू मुख्यतया होटल कम्प्युटर प्रणालीहरूमा सम्झौता गर्नमा केन्द्रित छन्। छनोटमा, समूहले सरकारी संस्थाहरू, निजी इन्जिनियरिङ् कम्पनीहरू र कानुनी फर्महरूलाई पनि निशाना बनाएको छ।

पीडितहरूको प्रोफाइलले फेमसस्प्यारोको मुख्य लक्ष्य साइबर जासूसी सञ्चालन गर्ने हो भनी सुझाव दिन्छ। समूहले कुनै निश्चित भौगोलिक क्षेत्रलाई लक्षित गरेको देखिँदैन विशेष गरी, अमेरिका, ब्राजिल, फ्रान्स, इङ्गल्याण्ड, साउदी अरेबिया, थाइल्याण्ड, ताइवान र थपबाट - पीडितहरू संसारभरि पत्ता लगाइएका छन्।

आक्रमण चेन

मार्चमा फिर्ता, FamousSparrow ले आफ्नो आक्रमण सञ्चालनहरू समायोजन गर्यो छिट्टै र ProxyLogon भनेर चिनिने Microsoft Exchange कमजोरीहरूको शोषण गर्न थाल्यो। त्यसबेला, १० भन्दा बढी विभिन्न एपीटी समूहहरूले एक्सचेन्ज मेल सर्भरहरू कब्जा गर्न आक्रमणहरू सुरु गरे। समूहद्वारा शोषण गरिएका अन्य कमजोरीहरूले Microsoft SharePoint र Oracle Opera लाई असर गर्छ।

सिकार गरेको मिसिन सम्झौता पछि, FamousSparrow दुई अनुकूलन संस्करण तैनाथ Mimikatz र नाम पहिले अज्ञात backdoor मालवेयर खतरा SparrowDoor । थप रूपमा, तिनीहरूले ब्याकडोरको लागि अनुकूलन लोडर पनि प्रयोग गर्छन्, एक उपयोगिता जुन प्रमाणहरू जम्मा गर्ने, र नेटबीआईओएस स्क्यानरको साथ काम गरिएको देखिन्छ।

अन्य ATP हरूमा जडानहरू

आफ्नो अनुसन्धानको क्रममा, इन्फोसेक अनुसन्धानकर्ताहरूले FamousSparrow र पहिले नै स्थापित ATPs बीच धेरै जडानहरू स्थापित गर्न सक्षम थिए। उदाहरणका लागि, एउटा केसमा समूहले Motnug संस्करण प्रयोग गर्‍यो, जुनसँग सम्बन्धित लोडर हो स्पार्कलिंगगोब्लिन ह्याकरहरू। एक फरक पीडितमा, शोधकर्ताहरूले एक सक्रिय मेटास्प्लोइट संस्करण फेला पारे जसले पहिले DRBCcontrol समूहमा लिङ्क गरिएको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) डोमेन प्रयोग गर्यो।