"FamousSparrow" explota las vulnerabilidades de Microsoft Exchange desde marzo de 2021. Grupo de hackers espía a gobiernos y organizaciones en hoteles.
Un grupo de espionaje cibernético previamente discreto ha demostrado de manera impresionante cuán rápido se puede explotar una vulnerabilidad conocida. "FamousSparrow" comenzó sus ataques de espionaje exactamente un día después de que se publicaran las vulnerabilidades de Microsoft Exchange (marzo de 2021). Esta llamada Amenaza Persistente Avanzada (APT) ataca principalmente a hoteles en todo el mundo. Pero los objetivos en otras áreas, como gobiernos, organizaciones internacionales, oficinas de ingeniería y bufetes de abogados, ahora también están en la agenda. Los investigadores de ESET examinaron las acciones del grupo de hackers y las publicaron en el blog de seguridad welivesecurity.de.
Espionaje cibernético global en marcha
FamousSparrow es otro grupo APT que tuvo acceso a la vulnerabilidad de ejecución remota de código ProxyLogon a principios de marzo de 2021. En el pasado, los piratas informáticos explotaron vulnerabilidades conocidas en aplicaciones de servidor como SharePoint y Oracle Opera.
En el presente caso, las víctimas se encuentran en Europa (Francia, Lituania, Reino Unido), Medio Oriente (Israel, Arabia Saudita), América del Norte y del Sur (Brasil, Canadá y Guatemala), Asia (Taiwán) y África (Burkina Faso). La elección de objetivos sugiere que FamousSparrow se dedica principalmente al espionaje cibernético.
El grupo APT explota las vulnerabilidades de Microsoft Exchange
Según los investigadores de ESET, el grupo de hackers comenzó a explotar las vulnerabilidades el 03.03.2021 de marzo de XNUMX, exactamente un día después del lanzamiento del parche. Se utilizaron la puerta trasera personalizada SparrowDoor y dos variantes de Mimikatz. Este último también es utilizado por el notorio Winnti Group.
“Este ataque de espionaje muestra una vez más lo importante que es cerrar las brechas de seguridad de manera oportuna. Si esto no es posible, por el motivo que sea, los dispositivos afectados no deben conectarse a Internet”, recomienda el investigador de ESET Mathieu Tartare, quien analizó a FamousSparrow con su colega Tahseen Bin Taj.
Es posible que el grupo de hackers de FamousSparrow no esté trabajando solo. Algunos rastros indican una conexión con SparklingGoblin y DRBControl. En un caso, los atacantes desplegaron una variante de Motnug, que es un cargador utilizado por SparklingGoblin. En otro caso, los expertos en EXET encontraron un metasploit en ejecución con cdn.kkxx888666[.]com como servidor C&C en una computadora comprometida por FamousSparrow. Este dominio está asociado con un grupo llamado DRDControl.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.