FamousSparrow APT

В киберпреступной среде создана новая группа APT (Advanced Persistent Threat). Его обнаружили исследователи, которые назвали его APT FamousSparrow. Считается, что группа была сформирована примерно в 2019 году и с тех пор действует. Атаки, приписываемые FamousSparrow, в основном направлены на взлом компьютерных систем отелей. В отдельных случаях группа также нацелена на государственные организации, частные инжиниринговые компании и юридические фирмы.

Профиль жертв предполагает, что основная цель FamousSparrow - проведение кибершпионажа. Группа не нацелена на определенный географический регион.В частности, жертвы были обнаружены по всему миру - из США, Бразилии, Франции, Англии, Саудовской Аравии, Таиланда, Тайваня и других стран.

Цепочка атак

Еще в марте FamousSparrow скорректировала свои операции по атакам.быстро и начал использовать уязвимости Microsoft Exchange, известные как ProxyLogon. Тогда более 10 различных APT-групп начали атаки с целью захвата почтовых серверов Exchange. Другие уязвимости, используемые группой, затрагивают Microsoft SharePoint и Oracle Opera.

После компрометации машины жертвы FamousSparrow развернул две пользовательские версии Mimikatz и ранее неизвестное вредоносное ПО SparrowDoor . Кроме того, они также используют специальный загрузчик для бэкдора, служебную программу, которая, по-видимому, занимается сбором учетных данных, и сканер NetBIOS.

Связи с другими АТФ

В ходе расследования исследователи информационной безопасности смогли установить несколько связей между FamousSparrow и уже установленными АТФ. Например, в одном случае группа использовала вариант Motnug, который представляет собой загрузчик, связанный с Хакеры SparklingGoblin. На другой жертве исследователи обнаружили активную версию Metasploit, в которой использовался домен Command-and-Control (C2, C&C), ранее связанный с группой DRBControl.