FamousSparrow APT

En ny APT -grupp (Advanced Persistent Threat) har bildats om det cyberkriminella landskapet. Det upptäcktes av forskare som har betecknat det som FamousSparrow APT. Gruppen tros ha bildats runt 2019 och är aktiv sedan dess. Attackerna som tillskrivs FamousSparrow är främst inriktade på att äventyra hotelldatorsystem. I utvalda fall har gruppen också riktat sig till statliga organisationer, privata verkstadsföretag och advokatbyråer.

Offrens profil tyder på att det främsta målet för FamousSparrow är att bedriva cyberspionage -operationer. Gruppen verkar inte rikta in sig på en viss geografisk regionspecifikt, eftersom offer har upptäckts över hela världen - från USA, Brasilien, Frankrike, England, Saudiarabien, Thailand, Taiwan och mer.

Attackkedja

Tillbaka i mars justerade FamousSparrow sina attackersnabbt och började utnyttja Microsoft Exchange -sårbarheterna som kallas ProxyLogon. Då startade över 10 olika APT -grupper attacker för att ta över Exchange -postservrar. Andra sårbarheter som gruppen utnyttjar påverkar Microsoft SharePoint och Oracle Opera.

Efter att ha äventyrat offrets maskin distribuerade FamousSparrow två anpassade versioner av Mimikatz och ett tidigare okänt hot mot skadlig kod som heter SparrowDoor. Dessutom använder de också en anpassad lastare för bakdörren, ett verktyg som verkar ha som uppgift att samla in uppgifter och en NetBIOS -skanner.

Anslutningar till andra ATP: er

Under sin undersökning kunde infosec -forskare upprätta flera kopplingar mellan FamousSparrow och redan etablerade ATP. Till exempel använde gruppen i ett fall en Motnug -variant, som är en lastare associerad med SparklingGoblin -hackare. På ett annat offer hittade forskarna en aktiv Metasploit-version som använde en Command-and-Control (C2, C&C) domän som tidigare var länkad till DRBControl-gruppen.