"FamousSparrow" exploite les vulnérabilités de Microsoft Exchange à partir de mars 2021. Un groupe de hackers espionne les gouvernements et les organisations dans les hôtels.
Un groupe de cyberespionnage auparavant discret a démontré de manière impressionnante la rapidité avec laquelle une vulnérabilité connue peut être exploitée. "FamousSparrow" a lancé ses attaques d'espionnage exactement un jour après la publication des vulnérabilités de Microsoft Exchange (mars 2021). Cette soi-disant menace persistante avancée (APT) attaque principalement les hôtels du monde entier. Mais des objectifs dans d'autres domaines tels que les gouvernements, les organisations internationales, les bureaux d'ingénierie et les cabinets d'avocats sont désormais également à l'ordre du jour. Les chercheurs d'ESET ont examiné les actions du groupe de hackers et les ont publiées sur le blog de sécurité welivesecurity.de.
Cyberespionnage mondial en cours
FamousSparrow est un autre groupe APT qui a eu accès à la vulnérabilité d'exécution de code à distance ProxyLogon début mars 2021. Dans le passé, les pirates ont exploité les vulnérabilités connues dans les applications serveur telles que SharePoint et Oracle Opera.
Dans le cas présent, les victimes se trouvent en Europe (France, Lituanie, Royaume-Uni), au Moyen-Orient (Israël, Arabie Saoudite), en Amérique du Nord et du Sud (Brésil, Canada et Guatemala), en Asie (Taiwan) et en Afrique (Burkina Faso). Le choix des cibles suggère que FamousSparrow se livre principalement au cyberespionnage.
Le groupe APT exploite les vulnérabilités de Microsoft Exchange
Selon les chercheurs d'ESET, le groupe de hackers a commencé à exploiter les vulnérabilités le 03.03.2021 mars XNUMX, exactement un jour après la publication du correctif. La porte dérobée personnalisée SparrowDoor et deux variantes de Mimikatz ont été utilisées. Ce dernier est également utilisé par le célèbre groupe Winnti.
« Cette attaque d'espionnage montre une fois de plus à quel point il est important de combler les failles de sécurité en temps opportun. Si cela n'est pas possible - pour quelque raison que ce soit - les appareils concernés ne doivent pas être connectés à Internet », recommande le chercheur d'ESET Mathieu Tartare, qui a analysé FamousSparrow avec son collègue Tahseen Bin Taj.
Le groupe de hackers FamousSparrow ne travaille peut-être pas seul. Certaines traces indiquent une connexion à SparklingGoblin et DRBControl. Dans un cas, les attaquants ont déployé une variante de Motnug, qui est un chargeur utilisé par SparklingGoblin. Dans un autre cas, les experts EXET ont trouvé un metasploit en cours d'exécution avec cdn.kkxx888666[.]com comme serveur C&C sur un ordinateur compromis par FamousSparrow. Ce domaine est associé à un groupe appelé DRDControl.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.