"FamousSparrow" sfrutta le vulnerabilità di Microsoft Exchange da marzo 2021. Il gruppo di hacker spia governi e organizzazioni negli hotel.
Un gruppo di spionaggio informatico precedentemente poco appariscente ha dimostrato in modo impressionante quanto velocemente sia possibile sfruttare una vulnerabilità nota. "FamousSparrow" ha iniziato i suoi attacchi di spionaggio esattamente un giorno dopo la pubblicazione delle vulnerabilità di Microsoft Exchange (marzo 2021). Questa cosiddetta Advanced Persistent Threat (APT) attacca principalmente gli hotel di tutto il mondo. Ma ora sono all'ordine del giorno anche obiettivi in altre aree come governi, organizzazioni internazionali, studi di ingegneria e studi legali. I ricercatori ESET hanno esaminato le azioni del gruppo di hacker e le hanno pubblicate sul blog di sicurezza welivesecurity.de.
Spionaggio informatico globale in corso
FamousSparrow è un altro gruppo APT che ha avuto accesso alla vulnerabilità dell'esecuzione di codice in modalità remota ProxyLogon all'inizio di marzo 2021. In passato, gli hacker hanno sfruttato vulnerabilità note in applicazioni server come SharePoint e Oracle Opera.
Nel caso in esame, le vittime si trovano in Europa (Francia, Lituania, Regno Unito), Medio Oriente (Israele, Arabia Saudita), Nord e Sud America (Brasile, Canada e Guatemala), Asia (Taiwan) e Africa (Burkina Faso). La scelta degli obiettivi suggerisce che FamousSparrow si dedichi principalmente allo spionaggio informatico.
Il gruppo APT sfrutta le vulnerabilità di Microsoft Exchange
Secondo i ricercatori ESET, il gruppo di hacker ha iniziato a sfruttare le vulnerabilità il 03.03.2021 marzo XNUMX, esattamente un giorno dopo il rilascio della patch. Sono state utilizzate la backdoor personalizzata SparrowDoor e due varianti di Mimikatz. Quest'ultimo è utilizzato anche dal famigerato Winnti Group.
“Questo attacco di spionaggio dimostra ancora una volta quanto sia importante colmare le falle di sicurezza in modo tempestivo. Se ciò non è possibile, per qualsiasi motivo, i dispositivi interessati non dovrebbero essere connessi a Internet", raccomanda il ricercatore ESET Mathieu Tartare, che ha analizzato FamousSparrow con il suo collega Tahseen Bin Taj.
Il gruppo di hacker FamousSparrow potrebbe non lavorare da solo. Alcune tracce indicano una connessione a SparklingGoblin e DRBControl. In un caso, gli aggressori hanno schierato una variante di Motnug, che è un caricatore utilizzato da SparklingGoblin. In un altro caso, gli esperti di EXET hanno trovato un metasploit in esecuzione con cdn.kkxx888666[.]com come server C&C su un computer compromesso da FamousSparrow. Questo dominio è associato a un gruppo denominato DRDControl.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.