FamousSparrow APT

W krajobrazie cyberprzestępczym utworzono nową grupę APT (Advanced Persistent Threat). Został odkryty przez naukowców, którzy oznaczyli go jako APT FamousSparrow. Uważa się, że grupa powstała około 2019 roku i od tego czasu działa. Ataki przypisywane FamousSparrow skupiają się głównie na atakowaniu hotelowych systemów komputerowych. W wybranych przypadkach grupa atakowała również organizacje rządowe, prywatne firmy inżynieryjne i kancelarie prawne.

Profil ofiar sugeruje, że głównym celem FamousSparrow jest prowadzenie operacji cyberszpiegowskich. Wygląda na to, że grupa nie jest kierowana na określony region geograficznyw szczególności, ponieważ ofiary zostały wykryte na całym świecie – od USA, Brazylii, Francji, Anglii, Arabii Saudyjskiej, Tajlandii, Tajwanu i innych.

Łańcuch ataku

W marcu FamousSparrow dostosował swoje operacje atakuszybko i zaczął wykorzystywać luki w Microsoft Exchange znane jako ProxyLogon. W tamtym czasie ponad 10 różnych grup APT przeprowadziło ataki, aby przejąć serwery pocztowe Exchange. Inne luki wykorzystywane przez grupę dotyczą Microsoft SharePoint i Oracle Opera.

Po skompromitowaniu maszyny ofiary FamousSparrow wdrożył dwie niestandardowe wersje Mimikatz oraz nieznane wcześniej szkodliwe oprogramowanie typu backdoor o nazwie SparrowDoor. Ponadto wykorzystują one również niestandardowy program ładujący dla backdoora, narzędzie, które wydaje się mieć za zadanie zbieranie danych uwierzytelniających, oraz skaner NetBIOS.

Połączenia z innymi ATP

Podczas swoich badań badacze infosec byli w stanie ustalić kilka powiązań między FamousSparrow a już ustanowionymi ATP. Na przykład w jednym przypadku grupa użyła wariantu Motnug, który jest programem ładującym powiązanym z Hakerzy SparklingGoblin. Na innej ofierze badacze znaleźli aktywną wersję Metasploita, która wykorzystywała domenę Command-and-Control (C2, C&C) wcześniej połączoną z grupą DRBControl.