Famous Sparrow APT

Un nou grup APT (Advanced Persistent Threat) a fost înființat în peisajul criminalității cibernetice. A fost descoperit de cercetătorii care l-au desemnat drept Famous Sparrow APT. Se crede că grupul a fost format în jurul anului 2019 și este activ de atunci. Atacurile atribuite lui FamousSparrow sunt concentrate în principal pe compromiterea sistemelor informatice ale hotelurilor. În anumite cazuri, grupul a vizat și organizații guvernamentale, companii private de inginerie și firme de avocatură.

Profilul victimelor sugerează că scopul principal al FamousSparrow este de a efectua operațiuni de spionaj cibernetic. Grupul nu pare să vizeze o anumită regiune geografică în special, deoarece victimele au fost detectate în întreaga lume - din SUA, Brazilia, Franța, Anglia, Arabia Saudită, Thailanda, Taiwan și multe altele.

Lanț de atac

În martie, FamousSparrow și-a ajustat operațiunile de atac rapid și a început să exploateze vulnerabilitățile Microsoft Exchange cunoscute sub numele de ProxyLogon. Pe atunci, peste 10 grupuri APT diferite au lansat atacuri pentru a prelua serverele de e-mail Exchange. Alte vulnerabilități exploatate de grup afectează Microsoft SharePoint și Oracle Opera.

După ce a compromis mașina victimei, FamousSparrow a implementat două versiuni personalizate de Mimikatz și o amenințare malware necunoscută anterior numită SparrowDoor . În plus, folosesc, de asemenea, un încărcător personalizat pentru ușa din spate, un utilitar care pare să fie însărcinat cu colectarea acreditărilor și un scanner NetBIOS.

Conexiuni la alte ATP-uri

În timpul investigației lor, cercetătorii infosec au reușit să stabilească mai multe conexiuni între Famous Sparrow și ATP-urile deja stabilite. De exemplu, într-un caz, grupul a folosit o variantă Motnug, care este un încărcător asociat cu Hackerii SparklingGoblin. Pe o altă victimă, cercetătorii au găsit o versiune Metasploit activă care folosea un domeniu Command-and-Control (C2, C&C) legat anterior la grupul DRBControl.