FamousSparrow APT
已经在网络犯罪领域建立了一个新的 APT(高级持续威胁)小组。它是由将其命名为 FamousSparrow APT 的研究人员发现的。据信该组织于 2019 年左右成立,并从那时起一直活跃。归因于 FamousSparrow 的攻击主要集中在破坏酒店计算机系统上。在特定情况下,该组织还针对政府组织、私营工程公司和律师事务所。
受害者的资料表明 FamousSparrow 的主要目标是进行网络间谍活动。该群组似乎没有针对某个地理区域具体来说,因为在世界各地都发现了受害者——来自美国、巴西、法国、英国、沙特阿拉伯、泰国、台湾等。
攻击链
早在 3 月份,FamousSparrow 就调整了其攻击操作并开始利用称为 ProxyLogon 的 Microsoft Exchange 漏洞。当时,超过 10 个不同的 APT 组织发起攻击以接管 Exchange 邮件服务器。该组织利用的其他漏洞影响 Microsoft SharePoint 和 Oracle Opera。
在入侵受害者的机器后,FamousSparrow 部署了两个自定义版本的Mimikatz和一个以前未知的名为SparrowDoor 的后门恶意软件威胁。此外,他们还为后门使用自定义加载程序、一个似乎负责收集凭据的实用程序和一个 NetBIOS 扫描程序。
与其他 ATP 的连接
在他们的调查过程中,信息安全研究人员能够在 FamousSparrow 和已经建立的 ATP 之间建立几个连接。例如,在一个案例中,该小组使用了 Motnug 变体,这是一个与 SparklingGoblin黑客。在另一个受害者身上,研究人员发现了一个活跃的 Metasploit 版本,该版本使用了一个先前链接到 DRBControl 组的命令和控制(C2、C&C)域。
