FamousSparrow APT

Siber suç ortamında yeni bir APT (Gelişmiş Kalıcı Tehdit) grubu kuruldu. Onu FamousSparrow APT olarak belirleyen araştırmacılar tarafından keşfedildi. Grubun 2019 civarında kurulduğuna inanılıyor ve o zamandan beri aktif. ÜnlüSparrow'a atfedilen saldırılar, esas olarak otel bilgisayar sistemlerinden ödün vermeye odaklanıyor. Grup, belirli durumlarda devlet kurumlarını, özel mühendislik şirketlerini ve hukuk firmalarını da hedef almıştır.

Kurbanların profili, FamousSparrow'un asıl amacının siber casusluk operasyonları yürütmek olduğunu gösteriyor. Grup, belirli bir coğrafi bölgeyi hedefliyor gibi görünmüyorözellikle, ABD, Brezilya, Fransa, İngiltere, Suudi Arabistan, Tayland, Tayvan ve daha fazlasından tüm dünyada kurbanlar tespit edildiğinden.

Saldırı Zinciri

Mart ayında, FamousSparrow saldırı operasyonlarını ayarladıhızla ve ProxyLogon olarak bilinen Microsoft Exchange güvenlik açıklarından yararlanmaya başladı. O zamanlar, 10'dan fazla farklı APT grubu, Exchange posta sunucularını ele geçirmek için saldırılar başlattı. Grup tarafından yararlanılan diğer güvenlik açıkları Microsoft SharePoint ve Oracle Opera'yı etkiler.

ÜnlüSparrow, kurbanın makinesini tehlikeye attıktan sonra, Mimikatz'ın iki özel sürümünü ve SparrowDoor adlı önceden bilinmeyen bir arka kapı kötü amaçlı yazılım tehdidini devreye aldı. Ayrıca, arka kapı için özel bir yükleyici, kimlik bilgilerini toplamakla görevli gibi görünen bir yardımcı program ve bir NetBIOS tarayıcısı da kullanırlar.

Diğer ATP'lere bağlantılar

Araştırmaları sırasında, infosec araştırmacıları, FamousSparrow ile halihazırda kurulmuş olan ATP'ler arasında birkaç bağlantı kurabildiler. Örneğin, bir durumda grup, aşağıdakilerle ilişkili bir yükleyici olan Motnug varyantını kullandı. SparklingGoblin bilgisayar korsanları. Araştırmacılar, farklı bir kurbanda, daha önce DRBControl grubuna bağlı bir Komuta ve Kontrol (C2, C&C) alanını kullanan aktif bir Metasploit sürümü buldular.