FamousSparrow APT
已經在網絡犯罪領域建立了一個新的 APT(高級持續威脅)小組。它是由將其命名為 FamousSparrow APT 的研究人員發現的。據信該組織於 2019 年左右成立,並從那時起一直活躍。歸因於 FamousSparrow 的攻擊主要集中在破壞酒店計算機系統上。在特定情況下,該組織還針對政府組織、私營工程公司和律師事務所。
受害者的資料表明 FamousSparrow 的主要目標是進行網絡間諜活動。該群組似乎沒有針對某個地理區域具體來說,因為在世界各地都發現了受害者——來自美國、巴西、法國、英國、沙特阿拉伯、泰國、台灣等。
攻擊鏈
早在 3 月份,FamousSparrow 就調整了其攻擊操作並開始利用稱為 ProxyLogon 的 Microsoft Exchange 漏洞。當時,超過 10 個不同的 APT 組織發起攻擊以接管 Exchange 郵件服務器。該組織利用的其他漏洞影響 Microsoft SharePoint 和 Oracle Opera。
在入侵受害者的機器後,FamousSparrow 部署了兩個自定義版本的Mimikatz和一個以前未知的名為SparrowDoor 的後門惡意軟件威脅。此外,他們還為後門使用自定義加載程序、一個似乎負責收集憑據的實用程序和一個 NetBIOS 掃描程序。
與其他 ATP 的連接
在他們的調查過程中,信息安全研究人員能夠在 FamousSparrow 和已經建立的 ATP 之間建立幾個連接。例如,在一個案例中,該小組使用了 Motnug 變體,這是一個與 SparklingGoblin黑客。在另一個受害者身上,研究人員發現了一個活躍的 Metasploit 版本,該版本使用了一個先前鏈接到 DRBControl 組的命令和控制(C2、C&C)域。
