FamousSparrow APT

Na področju kibernetskega kriminala je bila ustanovljena nova skupina APT (Advanced Persistent Threat). Odkrili so ga raziskovalci, ki so ga označili kot FamousSparrow APT. Skupina naj bi bila ustanovljena okoli leta 2019 in je aktivna od takrat. Napadi, ki jih pripisujejo FamousSparrow, so osredotočeni predvsem na ogrožanje hotelskih računalniških sistemov. V izbranih primerih je skupina ciljala tudi na vladne organizacije, zasebna inženirska podjetja in odvetniške pisarne.

Profil žrtev nakazuje, da je glavni cilj FamousSparrow izvajanje operacij kibernetskega vohunjenja. Zdi se, da skupina ne cilja na določeno geografsko regijo natančneje, ker so bile žrtve odkrite po vsem svetu – iz ZDA, Brazilije, Francije, Anglije, Savdske Arabije, Tajske, Tajvana in še več.

Napadna veriga

Že marca je FamousSparrow prilagodil svoje napade hitro in začel izkoriščati ranljivosti Microsoft Exchange, znane kot ProxyLogon. Takrat je več kot 10 različnih skupin APT sprožilo napade za prevzem poštnih strežnikov Exchange. Druge ranljivosti, ki jih izkorišča skupina, vplivajo na Microsoft SharePoint in Oracle Opera.

Potem ko je ogrozil žrtvin stroj, je FamousSparrow uvedel dve različici Mimikatza po meri in prej neznano grožnjo zlonamerne programske opreme v zakulisju, imenovano SparrowDoor. Poleg tega uporabljajo tudi nalagalnik po meri za zadnja vrata, pripomoček, za katerega se zdi, da je zadolžen za zbiranje poverilnic, in skener NetBIOS.

Povezave z drugimi ATP-ji

Med svojo preiskavo so raziskovalci infoseca uspeli vzpostaviti več povezav med FamousSparrow in že uveljavljenimi ATP. Na primer, v enem primeru je skupina uporabila različico Motnug, ki je nalagalnik, povezan z Hekerji SparklingGoblin. Na drugi žrtvi so raziskovalci našli aktivno različico Metasploita, ki je uporabljala domeno Command-and-Control (C2, C&C), ki je bila prej povezana s skupino DRBControl.