Licenças para vários dispositivos (descontos por volume)
Threat Database Advanced Persistent Threat (APT) FamousSparrow APT

FamousSparrow APT

Por Mezo em Advanced Persistent Threat (APT)
Traduzir Para:
Português

Um novo grupo APT (Advanced Persistent Threat) foi estabelecido no cenário do crime  cibernetico. Ele foi descoberto por pesquisadores que o designaram como FamousSparrow APT. Acredita-se que o grupo tenha sido formado por volta de 2019 e esteja ativo desde então. Os ataques atribuídos ao FamousSparrow se concentram principalmente no comprometimento dos sistemas de computador dos hotéis. Em casos selecionados, o grupo também tem como alvo organizações governamentais, empresas privadas de engenharia e escritórios de advocacia.

O perfil das vítimas sugere que o objetivo principal do FamousSparrow é conduzir operações de ciberespionagem. O grupo não parece ter como alvo uma determinada região geográficaespecificamente, porque as vítimas foram detectadas em todo o mundo - nos EUA, Brasil, França, Inglaterra, Arábia Saudita, Tailândia, Taiwan e muito mais.

A Corrente de Ataque

Em março, o FamousSparrow ajustou as suas operações de ataquerapidamente e começou a explorar as vulnerabilidades do Microsoft Exchange conhecidas como ProxyLogon. Naquela época, mais de 10 grupos APT diferentes lançaram ataques para assumir os servidores de e-mail do Exchange. Outras vulnerabilidades exploradas pelo grupo afetam o Microsoft SharePoint e o Oracle Opera.

Depois de comprometer a máquina da vítima, o FamousSparrow implantou duas versões personalizadas do Mimikatz e uma ameaça de malware backdoor anteriormente desconhecida, chamada SparrowDoor. Além disso, eles também utilizam um carregador personalizado para a porta dos fundos, um utilitário que parece ter a tarefa de coletar credenciais e um scanner NetBIOS.

Conexões com Outros ATPs

Durante sua investigação, os pesquisadores da infosec foram capazes de estabelecer várias conexões entre o FamousSparrow e ATPs já estabelecidos. Por exemplo, em um caso, o grupo usou uma variante Motnug, que é um carregador associado ao Hackers do SparklingGoblin. Em uma vítima diferente, os pesquisadores encontraram uma versão ativa do Metasploit que usava um domínio Command-and-Control (C2, C&C) previamente vinculado ao grupo DRBControl.

Tendendo

Mais visto

Carregando...