「FamousSparrow」は、2021 年 XNUMX 月から Microsoft Exchange の脆弱性を悪用します。 ハッカー グループはホテル内の政府や組織をスパイします。
以前は目立たなかったサイバー スパイ グループが、既知の脆弱性がいかに迅速に悪用されるかを印象的に示しました。 「FamousSparrow」は、Microsoft Exchange の脆弱性が公開されたちょうど 2021 日後 (XNUMX 年 XNUMX 月) にスパイ攻撃を開始しました。 このいわゆる Advanced Persistent Threat (APT) は、主に世界中のホテルを攻撃します。 しかし、政府、国際機関、技術事務所、法律事務所など、他の分野の目標も現在議題になっています。 ESET の研究者はハッカー グループの行動を調査し、セキュリティ ブログ welivesecurity.de で公開しました。
世界的なサイバースパイ活動が進行中
FamousSparrow は、2021 年 XNUMX 月初旬に ProxyLogon のリモート コード実行の脆弱性にアクセスした別の APT グループです。 過去に、ハッカーは SharePoint や Oracle Opera などのサーバー アプリケーションの既知の脆弱性を悪用していました。
現在のケースでは、被害者はヨーロッパ (フランス、リトアニア、イギリス)、中東 (イスラエル、サウジアラビア)、南北アメリカ (ブラジル、カナダ、グアテマラ)、アジア (台湾)、アフリカ (ブルキナ) にいます。ファソ)。 ターゲットの選択は、FamousSparrow が主にサイバー スパイ活動に従事していることを示唆しています。
APT グループが Microsoft Exchange の脆弱性を悪用
ESET の研究者によると、ハッカー グループは、パッチのリリースのちょうど 03.03.2021 日後の XNUMX 年 XNUMX 月 XNUMX 日に脆弱性を悪用し始めました。 カスタム バックドア SparrowDoor と Mimikatz の XNUMX つの亜種が使用されました。 後者は、悪名高い Winnti Group でも使用されています。
「このスパイ攻撃は、セキュリティのギャップをタイムリーに埋めることがいかに重要かを改めて示しています。 何らかの理由でこれが不可能な場合は、影響を受けるデバイスをインターネットに接続しないでください」と、ESET の研究者で、同僚の Tahseen Bin Taj と共に FamousSparrow を分析した Mathieu Tartare は推奨しています。
FamousSparrow ハッカー グループは単独で活動しているわけではありません。 一部のトレースは、SparklingGoblin と DRBControl への接続を示しています。 あるケースでは、攻撃者は、SparklingGoblin が使用するローダーである Motnug の亜種を展開しました。 別のケースでは、EXET の専門家は、FamousSparrow によって侵害されたコンピューター上で、C&C サーバーとして cdn.kkxx888666[.]com を使用して実行中のメタプロイトを発見しました。 このドメインは、DRDControl というグループに関連付けられています。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。