Famous Sparrow APT

Нова група APT (Advanced Persistent Threat) була створена у сфері кіберзлочинців. Його виявили дослідники, які позначили його як FamousSparrow APT. Вважається, що група була створена приблизно в 2019 році і з тих пір діє. Атаки, які приписують FamousSparrow, зосереджені в основному на компрометації комп’ютерних систем готелю. У деяких випадках група також націлена на державні організації, приватні інженерні компанії та юридичні фірми.

Профіль жертв говорить про те, що головною метою FamousSparrow є проведення кібершпигунських операцій. Схоже, що група не націлена на певний географічний регіон зокрема, оскільки жертв було виявлено по всьому світу – зі США, Бразилії, Франції, Англії, Саудівської Аравії, Таїланду, Тайваню тощо.

Ланцюг атаки

Ще в березні FamousSparrow відкоригував свої операції атаки швидко і почав використовувати вразливості Microsoft Exchange, відомі як ProxyLogon. Тоді понад 10 різних груп APT почали атаки, щоб захопити поштові сервери Exchange. Інші вразливості, які використовує група, впливають на Microsoft SharePoint та Oracle Opera.

Після компрометації машини жертви FamousSparrow розгорнув дві користувацькі версії Mimikatz і раніше невідому загрозу зловмисного програмного забезпечення під назвою SparrowDoor . Крім того, вони також використовують спеціальний завантажувач для бекдору, утиліту, якій, здається, доручено збирати облікові дані, і сканер NetBIOS.

Підключення до інших АТФ

Під час свого дослідження дослідники Infosec змогли встановити кілька зв’язків між FamousSparrow та вже встановленими АТФ. Наприклад, в одному випадку група використовувала варіант Motnug, який є завантажувачем, пов'язаним з Хакери SparklingGoblin. На іншій жертві дослідники знайшли активну версію Metasploit, яка використовувала домен Command-and-Control (C2, C&C), раніше пов’язаний з групою DRBControl.