«FamousSparrow» використовує вразливості Microsoft Exchange з березня 2021 року. Група хакерів шпигує за урядами та організаціями в готелях.
Раніше непомітна група кібершпигунства вражаюче продемонструвала, як швидко можна використати відому вразливість. «FamousSparrow» почав свої шпигунські атаки рівно через день після публікації вразливостей Microsoft Exchange (березень 2021 року). Ця так звана Advanced Persistent Threat (APT) в основному атакує готелі по всьому світу. Але цілі в інших сферах, таких як уряди, міжнародні організації, інженерні бюро та юридичні фірми, тепер також на порядку денному. Дослідники ESET перевірили дії хакерської групи та опублікували їх у блозі безпеки welivesecurity.de.
Розгортається глобальне кібершпигунство
FamousSparrow — ще одна група APT, яка мала доступ до вразливості віддаленого виконання коду ProxyLogon на початку березня 2021 року. У минулому хакери використовували відомі вразливості в серверних програмах, таких як SharePoint і Oracle Opera.
У поточному випадку жертви знаходяться в Європі (Франція, Литва, Велика Британія), Близькому Сході (Ізраїль, Саудівська Аравія), Північній і Південній Америці (Бразилія, Канада і Гватемала), Азії (Тайвань) і Африці (Буркіна). Фасо). Вибір цілей свідчить про те, що FamousSparrow переважно займається кібершпигунством.
Група APT використовує вразливості Microsoft Exchange
За словами дослідників ESET, група хакерів почала використовувати вразливості 03.03.2021 березня XNUMX року, рівно через день після випуску патча. Було використано кастомний бекдор SparrowDoor і два варіанти Mimikatz. Останній також використовується горезвісною Winnti Group.
«Ця шпигунська атака ще раз показує, наскільки важливо своєчасно ліквідувати прогалини в безпеці. Якщо це неможливо з будь-якої причини, уражені пристрої не слід підключати до Інтернету», — рекомендує дослідник ESET Матьє Тартаре, який проаналізував FamousSparrow разом зі своїм колегою Тахсін Бін Тадж.
Група хакерів FamousSparrow може працювати не сама. Деякі сліди вказують на підключення до SparklingGoblin і DRBControl. В одному випадку зловмисники застосували варіант Motnug, який є завантажувачем, який використовує SparklingGoblin. В іншому випадку експерти EXET виявили запущений metasploit із cdn.kkxx888666[.]com як сервер C&C на комп’ютері, зламаному FamousSparrow. Цей домен пов’язаний з групою під назвою DRDControl.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.