FamousSparrow APT er afhængig af SparrowDoor og sårbarheden i ProxyLogon

Hackerne fra FamousSparrow APT er ret nye spillere inden for cyberkriminalitet. Deres første kampagner blev set i marts 2021, da de udnyttede ProxyLogon -sårbarheden i Microsoft Exchange -servere. I løbet af denne periode misbrugte næsten et dusin af Advanced Persistent Threat (APT) aktører nul-dages sårbarhed for at kapre Microsoft Exchange-mailservere. I dag ser det ud til, at FamousSparrow APT-hackerne stadig er afhængige af denne sårbarhed, men de er også målrettet mod andre web-eksponerede applikationer såsom SharePoint og Oracle Opera. Selvfølgelig er deres mål netværk, der kører forældede versioner af softwaren, der potentielt er sårbare over for gamle bedrifter.

Den signatur bagdør -trojan, som disse hackere bruger, er SparrowDoor. Det er i øjeblikket meget aktivt og har formået at inficere netværk i et dusin lande, herunder Storbritannien, Brasilien, Canada, Israel, Frankrig, Sydafrika og andre. Selvom størstedelen af de aktive infektioner ser ud til at være koncentreret i hotelbranchen, går FamousSparrow APT-hackerne også efter almennyttige organisationer, regeringer og virksomheder inden for lov- eller ingeniørbranchen. Når det er sagt, er det sikkert at antage, at spionage er disse kriminelles primære motivation.

Mens den tilpassede SparrowDoor -bagdør håndterer en stor del af angrebet, er FamousSparrow APT -hackerne også afhængige af offentlige værktøjer - Mimikatz, ProcDump og Nbtscan. De to første bruges til at forsøge at opnå loginoplysninger fra det inficerede system, mens Nbtscan -værktøjet er en NetBIOS -scanner, som gør det muligt for kriminelle at kompromittere andre enheder på det samme netværk.

Mens FamousSparrow APT's modus operandi deler ligheder med andre APT-grupper, er det for tidligt at afgøre, om de er forbundet til en bedre kendt hackergruppe. Deres netværksinfrastruktur ser ud til at være unik, og SparrowDoor Backdoor har hidtil kun været brugt af denne særlige gruppe.