Sikat naSparrow APT

Isang bagong grupo ng APT (Advanced Persistent Threat) ang naitatag sa cybercriminal landscape. Natuklasan ito ng mga mananaliksik na nagtalaga nito bilang FamousSparrow APT. Ang grupo ay pinaniniwalaang nabuo noong 2019 at aktibo mula noon. Ang mga pag-atake na nauugnay sa FamousSparrow ay pangunahing nakatuon sa pagkompromiso sa mga computer system ng hotel. Sa mga piling pagkakataon, target din ng grupo ang mga organisasyon ng gobyerno, pribadong kumpanya ng engineering at mga law firm.

Ang profile ng mga biktima ay nagmumungkahi na ang pangunahing layunin ng FamousSparrow ay magsagawa ng mga operasyon sa cyberespionage. Ang grupo ay hindi lumilitaw na nagta-target ng isang partikular na heograpikal na rehiyon partikular, dahil ang mga biktima ay natukoy sa buong mundo - mula sa US, Brazil, France, England, Saudi Arabia, Thailand, Taiwan at higit pa.

Kadena ng Pag-atake

Noong Marso, inayos ng FamousSparrow ang mga operasyon ng pag-atake nito mabilis at nagsimulang pagsamantalahan ang mga kahinaan ng Microsoft Exchange na kilala bilang ProxyLogon. Noon, mahigit 10 iba't ibang grupo ng APT ang naglunsad ng mga pag-atake upang sakupin ang mga Exchange mail server. Ang iba pang mga kahinaan na pinagsamantalahan ng grupo ay nakakaapekto sa Microsoft SharePoint at Oracle Opera.

Pagkatapos na ikompromiso ang makina ng biktima, nag-deploy ang FamousSparrow ng dalawang custom na bersyon ng Mimikatz at isang dati nang hindi kilalang banta ng malware sa backdoor na pinangalanang SparrowDoor . Bilang karagdagan, gumagamit din sila ng custom na loader para sa backdoor, isang utility na mukhang may tungkulin sa pangangalap ng mga kredensyal, at isang scanner ng NetBIOS.

Mga koneksyon sa iba pang mga ATP

Sa kanilang pagsisiyasat, ang mga mananaliksik ng infosec ay nakapagtatag ng ilang koneksyon sa pagitan ng FamousSparrow at mga naitatag na ATP. Halimbawa, sa isang kaso, gumamit ang grupo ng variant ng Motnug, na isang loader na nauugnay sa Mga hacker ng SparklingGoblin. Sa ibang biktima, nakakita ang mga mananaliksik ng aktibong bersyon ng Metasploit na gumamit ng Command-and-Control (C2, C&C) na domain na dating naka-link sa DRBControl group.