ที่มีชื่อเสียงSparrow APT

มีการจัดตั้งกลุ่ม APT (Advanced Persistent Threat) ใหม่เกี่ยวกับภูมิทัศน์ของอาชญากรไซเบอร์ มันถูกค้นพบโดยนักวิจัยที่ได้กำหนดให้เป็น FamousSparrow APT เชื่อกันว่ากลุ่มนี้ก่อตั้งขึ้นเมื่อประมาณปี 2019 และเปิดใช้งานตั้งแต่นั้นเป็นต้นมา การโจมตีที่เกิดจาก FamousSparrow มุ่งเน้นไปที่การประนีประนอมระบบคอมพิวเตอร์ของโรงแรมเป็นหลัก ในบางกรณี กลุ่มนี้ยังกำหนดเป้าหมายไปยังหน่วยงานภาครัฐ บริษัทวิศวกรรมเอกชน และสำนักงานกฎหมายอีกด้วย

โปรไฟล์ของเหยื่อระบุว่าเป้าหมายหลักของ FamousSparrow คือการดำเนินการจารกรรมทางอินเทอร์เน็ต ดูเหมือนว่ากลุ่มนี้ไม่ได้กำหนดเป้าหมายไปยังภูมิภาคใดภูมิภาคหนึ่ง โดยเฉพาะอย่างยิ่ง เนื่องจากมีการตรวจพบเหยื่อทั่วโลก - จากสหรัฐอเมริกา บราซิล ฝรั่งเศส อังกฤษ ซาอุดีอาระเบีย ไทย ไต้หวันและอื่น ๆ

โซ่โจมตี

ย้อนกลับไปในเดือนมีนาคม FamousSparrow ได้ปรับการดำเนินการโจมตี และเริ่มใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ที่เรียกว่า ProxyLogon ย้อนกลับไปในตอนนั้น กลุ่ม APT ต่างๆ กว่า 10 กลุ่มเริ่มโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์อีเมล Exchange ช่องโหว่อื่นๆ ที่กลุ่มใช้ประโยชน์จากช่องโหว่นี้ส่งผลต่อ Microsoft SharePoint และ Oracle Opera

หลังจากที่สูญเสียเครื่องของเหยื่อ FamousSparrow นำไปใช้ทั้งสองรุ่นที่กำหนดเองของ Mimikatz และเป็นภัยคุกคามมัลแวร์โทรจันที่ไม่รู้จักก่อนหน้านี้ชื่อ SparrowDoor นอกจากนี้ พวกเขายังใช้ตัวโหลดแบบกำหนดเองสำหรับแบ็คดอร์ ยูทิลิตี้ที่ดูเหมือนว่าจะได้รับมอบหมายให้รวบรวมข้อมูลประจำตัว และเครื่องสแกน NetBIOS

การเชื่อมต่อกับ ATP อื่น ๆ

ในระหว่างการสอบสวน นักวิจัยของอินโฟเซคสามารถสร้างความเชื่อมโยงระหว่าง FamousSparrow และ ATP ที่สร้างไว้แล้วได้ ตัวอย่างเช่น ในกรณีหนึ่งกลุ่มใช้ตัวแปร Motnug ซึ่งเป็นตัวโหลดที่เกี่ยวข้องกับ แฮกเกอร์ SparklingGoblin ในเหยื่อรายอื่น นักวิจัยพบ Metasploit เวอร์ชันที่ใช้งานซึ่งใช้โดเมน Command-and-Control (C2, C&C) ที่เชื่อมโยงกับกลุ่ม DRBControl ก่อนหน้านี้