Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) FamousSparrow APT

FamousSparrow APT

Tegen Mezo in Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

Er is een nieuwe APT-groep (Advanced Persistent Threat) opgericht in het cybercriminele landschap. Het werd ontdekt door onderzoekers die het de FamousSparrow APT hebben genoemd. De groep wordt verondersteld rond 2019 te zijn gevormd en is sindsdien actief. De aanvallen die aan FamousSparrow worden toegeschreven, zijn voornamelijk gericht op het compromitteren van computersystemen van hotels. In bepaalde gevallen richt de groep zich ook op overheidsorganisaties, particuliere ingenieursbureaus en advocatenkantoren.

Het profiel van de slachtoffers suggereert dat het hoofddoel van FamousSparrow het uitvoeren van cyberspionageoperaties is. De groep lijkt geen bepaalde geografische regio te targetenin het bijzonder omdat slachtoffers over de hele wereld zijn ontdekt - uit de VS, Brazilië, Frankrijk, Engeland, Saoedi-Arabië, Thailand, Taiwan en meer.

Aanvalsketen

In maart heeft FamousSparrow zijn aanvalsoperaties aangepastsnel en begon misbruik te maken van de Microsoft Exchange-kwetsbaarheden die bekend staan als ProxyLogon. Destijds lanceerden meer dan 10 verschillende APT-groepen aanvallen om Exchange-mailservers over te nemen. Andere kwetsbaarheden die door de groep worden uitgebuit, zijn van invloed op Microsoft SharePoint en Oracle Opera.

Na het compromitteren van de computer van het slachtoffer, implementeerde FamousSparrow twee aangepaste versies van Mimikatz en een voorheen onbekende backdoor malware-bedreiging genaamd SparrowDoor. Daarnaast gebruiken ze ook een aangepaste lader voor de achterdeur, een hulpprogramma dat lijkt te zijn belast met het verzamelen van inloggegevens en een NetBIOS-scanner.

Verbindingen met andere ATP's

Tijdens hun onderzoek konden infosec-onderzoekers verschillende verbanden leggen tussen FamousSparrow en reeds gevestigde ATP's. In één geval gebruikte de groep bijvoorbeeld een Motnug-variant, een lader die is gekoppeld aan de SparklingGoblin- hackers. Bij een ander slachtoffer vonden de onderzoekers een actieve Metasploit-versie die gebruikmaakte van een Command-and-Control (C2, C&C) domein dat eerder was gekoppeld aan de DRBControl-groep.

Trending

Meest bekeken

Bezig met laden...