FamousSparrow APT

Một nhóm APT mới (Mối đe dọa liên tục nâng cao) đã được thành lập trên bối cảnh tội phạm mạng. Nó được phát hiện bởi các nhà nghiên cứu, những người đã chỉ định nó là FamousSparrow APT. Nhóm được cho là đã được thành lập vào khoảng năm 2019 và hoạt động kể từ đó. Các cuộc tấn công được cho là do FamousSparrow chủ yếu tập trung vào việc xâm nhập hệ thống máy tính của khách sạn. Trong một số trường hợp được chọn, nhóm cũng nhắm mục tiêu đến các tổ chức chính phủ, các công ty kỹ thuật tư nhân và các công ty luật.

Hồ sơ của các nạn nhân cho thấy mục tiêu chính của FamousSparrow là thực hiện các hoạt động gián điệp mạng. Nhóm dường như không nhắm mục tiêu đến một khu vực địa lý nhất định đặc biệt, vì các nạn nhân đã được phát hiện trên khắp thế giới - từ Mỹ, Brazil, Pháp, Anh, Ả Rập Saudi, Thái Lan, Đài Loan và hơn thế nữa.

Chuỗi tấn công

Trở lại tháng 3, FamousSparrow đã điều chỉnh các hoạt động tấn công của mình nhanh chóng và bắt đầu khai thác các lỗ hổng Microsoft Exchange được gọi là ProxyLogon. Vào thời điểm đó, hơn 10 nhóm APT khác nhau đã phát động các cuộc tấn công để chiếm các máy chủ thư Exchange. Các lỗ hổng khác được nhóm khai thác ảnh hưởng đến Microsoft SharePoint và Oracle Opera.

Sau khi xâm nhập máy của nạn nhân, FamousSparrow đã triển khai hai phiên bản tùy chỉnh của Mimikatz và một mối đe dọa phần mềm độc hại cửa sau chưa từng biết trước đó có tên SparrowDoor . Ngoài ra, họ cũng sử dụng một trình tải tùy chỉnh cho backdoor, một tiện ích dường như có nhiệm vụ thu thập thông tin đăng nhập và một máy quét NetBIOS.

Kết nối với các ATP khác

Trong quá trình điều tra của họ, các nhà nghiên cứu infosec đã có thể thiết lập một số kết nối giữa FamousSparrow và các ATP đã được thiết lập. Ví dụ: trong một trường hợp, nhóm đã sử dụng biến thể Motnug, là một trình tải được liên kết với Tin tặc SparklingGoblin. Trên một nạn nhân khác, các nhà nghiên cứu đã tìm thấy một phiên bản Metasploit đang hoạt động sử dụng miền Command-and-Control (C2, C&C) được liên kết trước đó với nhóm DRBControl.