"FamousSparrow", Mart 2021'den itibaren Microsoft Exchange güvenlik açıklarından yararlanır. Hacker grubu, otellerde hükümetler ve kuruluşlar hakkında casusluk yapar.
Daha önce göze çarpmayan bir siber casusluk grubu, bilinen bir güvenlik açığından ne kadar çabuk yararlanılabileceğini etkileyici bir şekilde gösterdi. "FamousSparrow", casusluk saldırılarına Microsoft Exchange güvenlik açıklarının yayınlanmasından tam bir gün sonra başladı (Mart 2021). Bu sözde Gelişmiş Kalıcı Tehdit (APT), öncelikle dünya çapındaki otellere saldırır. Ancak artık hükümetler, uluslararası kuruluşlar, mühendislik ofisleri ve hukuk firmaları gibi diğer alanlardaki hedefler de gündemde. ESET araştırmacıları, hacker grubunun eylemlerini inceledi ve bunları welivesecurity.de güvenlik blogunda yayınladı.
Küresel siber casusluk devam ediyor
FamousSparrow, Mart 2021'in başlarında ProxyLogon uzaktan kod yürütme güvenlik açığına erişimi olan başka bir APT grubudur. Geçmişte bilgisayar korsanları, SharePoint ve Oracle Opera gibi sunucu uygulamalarındaki bilinen güvenlik açıklarından yararlanıyordu.
Mevcut durumda, mağdurlar Avrupa (Fransa, Litvanya, Birleşik Krallık), Orta Doğu (İsrail, Suudi Arabistan), Kuzey ve Güney Amerika (Brezilya, Kanada ve Guatemala), Asya (Tayvan) ve Afrika'da (Burkina) bulunmaktadır. Faso). Hedef seçimi, FamousSparrow'un öncelikle siber casuslukla uğraştığını gösteriyor.
APT grubu, Microsoft Exchange güvenlik açıklarından yararlanır
ESET araştırmacılarına göre hacker grubu, yamanın yayınlanmasından tam bir gün sonra 03.03.2021 Mart XNUMX'de güvenlik açıklarından yararlanmaya başladı. Özel arka kapı SparrowDoor ve Mimikatz'ın iki çeşidi kullanıldı. İkincisi, kötü şöhretli Winnti Group tarafından da kullanılıyor.
“Bu casusluk saldırısı, güvenlik açıklarını zamanında kapatmanın ne kadar önemli olduğunu bir kez daha gösteriyor. Meslektaşı Tahseen Bin Taj ile FamousSparrow'u analiz eden ESET araştırmacısı Mathieu Tartare, bu mümkün değilse - hangi nedenle olursa olsun - etkilenen cihazlar internete bağlanmamalıdır" diyor.
FamousSparrow hacker grubu tek başına çalışmıyor olabilir. Bazı izler, SparklingGoblin ve DRBControl ile bir bağlantıyı gösterir. Bir vakada saldırganlar, SparklingGoblin tarafından kullanılan bir yükleyici olan Motnug'un bir çeşidini konuşlandırdı. Başka bir durumda, EXET uzmanları, FamousSparrow tarafından ele geçirilen bir bilgisayarda C&C sunucusu olarak cdn.kkxx888666[.]com ile çalışan bir metasploit buldu. Bu etki alanı, DRDControl adlı bir grupla ilişkilidir.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.