FamousSparrow APT

Bola zriadená nová skupina APT (Advanced Persistent Threat) pre oblasť kyberzločincov. Objavili ho výskumníci, ktorí ho označili ako FamousSparrow APT. Predpokladá sa, že skupina vznikla okolo roku 2019 a odvtedy je aktívna. Útoky pripisované FamousSparrowovi sú zamerané najmä na kompromitovanie hotelových počítačových systémov. Vo vybraných prípadoch sa skupina zamerala aj na vládne organizácie, súkromné inžinierske spoločnosti a právnické firmy.

Profil obetí naznačuje, že hlavným cieľom FamousSparrow je vykonávať kyberšpionážne operácie. Zdá sa, že skupina nie je zacielená na určitú geografickú oblasť konkrétne, keďže obete boli zistené po celom svete – z USA, Brazílie, Francúzska, Anglicka, Saudskej Arábie, Thajska, Taiwanu a ďalších.

Útočný reťazec

V marci FamousSparrow upravil svoje útočné operácie rýchlo a začali využívať zraniteľnosti Microsoft Exchange známe ako ProxyLogon. Vtedy viac ako 10 rôznych skupín APT spustilo útoky, aby prevzali poštové servery Exchange. Ďalšie zraniteľnosti, ktoré skupina využíva, ovplyvňujú Microsoft SharePoint a Oracle Opera.

Po kompromitovaní stroja obete FamousSparrow nasadil dve vlastné verzie Mimikatz a predtým neznámu hrozbu backdoor malvéru s názvom SparrowDoor . Okrem toho využívajú aj vlastný zavádzač pre zadné dvierka, pomôcku, ktorá sa zdá byť poverená zhromažďovaním poverení, a skener NetBIOS.

Pripojenie k iným ATP

Počas vyšetrovania boli výskumníci z Infosec schopní vytvoriť niekoľko spojení medzi FamousSparrow a už zavedenými ATP. Napríklad v jednom prípade skupina použila variant Motnug, čo je nakladač spojený s SparklingGoblin hackeri. Na inej obeti výskumníci našli aktívnu verziu Metasploit, ktorá používala doménu Command-and-Control (C2, C&C), ktorá bola predtým prepojená so skupinou DRBControl.

Trendy

Najviac videné

Načítava...