ਮਸ਼ਹੂਰ ਸਪੈਰੋ ਏ.ਪੀ.ਟੀ
ਸਾਈਬਰ ਕ੍ਰਿਮੀਨਲ ਲੈਂਡਸਕੇਪ 'ਤੇ ਇੱਕ ਨਵਾਂ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ) ਗਰੁੱਪ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜਿਆ ਗਿਆ ਸੀ ਜਿਨ੍ਹਾਂ ਨੇ ਇਸਨੂੰ ਮਸ਼ਹੂਰ ਸਪੈਰੋ ਏਪੀਟੀ ਵਜੋਂ ਮਨੋਨੀਤ ਕੀਤਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਸਮੂਹ 2019 ਦੇ ਆਸਪਾਸ ਬਣਾਇਆ ਗਿਆ ਸੀ ਅਤੇ ਉਦੋਂ ਤੋਂ ਸਰਗਰਮ ਹੈ। FamousSparrow ਨੂੰ ਦਿੱਤੇ ਗਏ ਹਮਲੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਹੋਟਲ ਕੰਪਿਊਟਰ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ। ਚੋਣਵੇਂ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਪ੍ਰਾਈਵੇਟ ਇੰਜੀਨੀਅਰਿੰਗ ਕੰਪਨੀਆਂ ਅਤੇ ਕਾਨੂੰਨ ਫਰਮਾਂ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।
ਪੀੜਤਾਂ ਦਾ ਪ੍ਰੋਫਾਈਲ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ FamousSparrow ਦਾ ਮੁੱਖ ਟੀਚਾ ਸਾਈਬਰ ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ ਕਰਨਾ ਹੈ। ਇਹ ਗਰੁੱਪ ਕਿਸੇ ਖਾਸ ਭੂਗੋਲਿਕ ਖੇਤਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਨਹੀਂ ਬਣਾਉਂਦਾ ਜਾਪਦਾ ਹੈ ਖਾਸ ਤੌਰ 'ਤੇ, ਜਿਵੇਂ ਕਿ ਪੂਰੀ ਦੁਨੀਆ ਵਿੱਚ ਪੀੜਤਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ - ਅਮਰੀਕਾ, ਬ੍ਰਾਜ਼ੀਲ, ਫਰਾਂਸ, ਇੰਗਲੈਂਡ, ਸਾਊਦੀ ਅਰਬ, ਥਾਈਲੈਂਡ, ਤਾਈਵਾਨ ਅਤੇ ਹੋਰਾਂ ਤੋਂ।
ਹਮਲਾ ਚੇਨ
ਮਾਰਚ ਵਿੱਚ ਵਾਪਸ, FamousSparrow ਨੇ ਆਪਣੇ ਹਮਲੇ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਵਿਵਸਥਿਤ ਕੀਤਾ ਤੇਜ਼ੀ ਨਾਲ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਚੇਂਜ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਜਿਸ ਨੂੰ ਪ੍ਰੌਕਸੀਲੌਗਨ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਉਸ ਸਮੇਂ, 10 ਤੋਂ ਵੱਧ ਵੱਖ-ਵੱਖ APT ਸਮੂਹਾਂ ਨੇ ਐਕਸਚੇਂਜ ਮੇਲ ਸਰਵਰਾਂ ਨੂੰ ਲੈਣ ਲਈ ਹਮਲੇ ਸ਼ੁਰੂ ਕੀਤੇ। ਸਮੂਹ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤੀਆਂ ਗਈਆਂ ਹੋਰ ਕਮਜ਼ੋਰੀਆਂ Microsoft SharePoint ਅਤੇ Oracle Opera ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀਆਂ ਹਨ।
ਪੀੜਤ ਦੇ ਮਸ਼ੀਨ ਨੂੰ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਬਾਅਦ, FamousSparrow ਦੇ ਦੋ ਕਸਟਮ ਵਰਜਨ ਤਾਇਨਾਤ Mimikatz ਅਤੇ ਪਿਛਲੀ ਅਣਜਾਣ ਘਟੀਆ ਮਾਲਵੇਅਰ ਧਮਕੀ ਨਾਮ SparrowDoor . ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਲਈ ਇੱਕ ਕਸਟਮ ਲੋਡਰ ਦੀ ਵੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਇੱਕ ਉਪਯੋਗਤਾ ਜੋ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਕੰਮ ਕਰਦੀ ਜਾਪਦੀ ਹੈ, ਅਤੇ ਇੱਕ NetBIOS ਸਕੈਨਰ।
ਹੋਰ ATPs ਨਾਲ ਕਨੈਕਸ਼ਨ
ਆਪਣੀ ਜਾਂਚ ਦੇ ਦੌਰਾਨ, ਇਨਫੋਸੈਕਸ ਖੋਜਕਰਤਾ ਫੇਮਸ ਸਪੈਰੋ ਅਤੇ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਏਟੀਪੀ ਦੇ ਵਿਚਕਾਰ ਕਈ ਕੁਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਸਨ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਮਾਮਲੇ ਵਿੱਚ ਸਮੂਹ ਨੇ ਇੱਕ ਮੋਟਨੁਗ ਵੇਰੀਐਂਟ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਕਿ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਲੋਡਰ ਹੈ ਸਪਾਰਕਲਿੰਗਗੋਬਲਿਨ ਹੈਕਰਸ। ਇੱਕ ਵੱਖਰੇ ਪੀੜਤ 'ਤੇ, ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਇੱਕ ਸਰਗਰਮ ਮੇਟਾਸਪਲੋਇਟ ਸੰਸਕਰਣ ਮਿਲਿਆ ਜਿਸ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਡੋਮੇਨ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ ਜੋ ਪਹਿਲਾਂ DRBControl ਸਮੂਹ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ।
