"FamousSparrow" explora as vulnerabilidades do Microsoft Exchange a partir de março de 2021. Grupo de hackers espiona governos e organizações em hotéis.
Um grupo de ciberespionagem anteriormente discreto demonstrou de forma impressionante a rapidez com que uma vulnerabilidade conhecida pode ser explorada. "FamousSparrow" iniciou seus ataques de espionagem exatamente um dia após a publicação das vulnerabilidades do Microsoft Exchange (março de 2021). Essa chamada Ameaça Persistente Avançada (APT) ataca principalmente hotéis em todo o mundo. Mas metas em outras áreas, como governos, organizações internacionais, escritórios de engenharia e escritórios de advocacia, agora também estão na agenda. Os pesquisadores da ESET examinaram as ações do grupo de hackers e as publicaram no blog de segurança welivesecurity.de.
Espionagem cibernética global em andamento
FamousSparrow é outro grupo APT que teve acesso à vulnerabilidade de execução remota de código ProxyLogon no início de março de 2021. No passado, os hackers exploravam vulnerabilidades conhecidas em aplicativos de servidor, como SharePoint e Oracle Opera.
No caso atual, as vítimas estão localizadas na Europa (França, Lituânia, Reino Unido), Oriente Médio (Israel, Arábia Saudita), América do Norte e do Sul (Brasil, Canadá e Guatemala), Ásia (Taiwan) e África (Burkina Fasso). A escolha dos alvos sugere que o FamousSparrow se dedica principalmente à espionagem cibernética.
Grupo APT explora vulnerabilidades do Microsoft Exchange
De acordo com os pesquisadores da ESET, o grupo de hackers começou a explorar as vulnerabilidades em 03.03.2021 de março de XNUMX, exatamente um dia após o lançamento do patch. O backdoor personalizado SparrowDoor e duas variantes de Mimikatz foram usados. Este último também é usado pelo notório Grupo Winnti.
“Este ataque de espionagem mostra mais uma vez como é importante fechar brechas de segurança em tempo hábil. Se isso não for possível - por qualquer motivo - os dispositivos afetados não devem estar conectados à Internet", recomenda o pesquisador da ESET Mathieu Tartare, que analisou o FamousSparrow com seu colega Tahseen Bin Taj.
O grupo de hackers FamousSparrow pode não estar trabalhando sozinho. Alguns traços indicam uma conexão com SparklingGoblin e DRBControl. Em um caso, os invasores implantaram uma variante do Motnug, que é um carregador usado pelo SparklingGoblin. Em outro caso, os especialistas do EXET encontraram um metasploit em execução com cdn.kkxx888666[.]com como servidor C&C em um computador comprometido pelo FamousSparrow. Este domínio está associado a um grupo chamado DRDControl.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.