Το FamousSparrow APT βασίζεται στο SparrowDoor και το τρωτό σημείο του ProxyLogon
Οι χάκερ από το FamousSparrow APT είναι αρκετά νέοι παίκτες στον τομέα του εγκλήματος στον κυβερνοχώρο. Οι πρώτες καμπάνιες τους εντοπίστηκαν τον Μάρτιο του 2021, όταν εκμεταλλεύονταν την ευπάθεια του ProxyLogon στους διακομιστές του Microsoft Exchange. Κατά τη διάρκεια αυτής της περιόδου, σχεδόν δώδεκα ηθοποιοί Advanced Persistent Threat (APT) έκαναν κατάχρηση της ευπάθειας μηδενικών ημερών για να παραβιάσουν διακομιστές αλληλογραφίας του Microsoft Exchange. Σήμερα, οι χάκερ FamousSparrow APT φαίνεται να εξακολουθούν να βασίζονται σε αυτήν την ευπάθεια, αλλά στοχεύουν επίσης σε άλλες εφαρμογές εκτεθειμένες στον Ιστό, όπως το SharePoint και το Oracle Opera. Φυσικά, οι στόχοι τους είναι δίκτυα που τρέχουν ξεπερασμένες εκδόσεις του λογισμικού, δυνητικά ευάλωτα σε παλιές εκμεταλλεύσεις.
Η υπογραφή backdoor Trojan που χρησιμοποιούν αυτοί οι χάκερ είναι το SparrowDoor. Αυτή τη στιγμή είναι πολύ ενεργό και έχει καταφέρει να μολύνει δίκτυα σε δώδεκα χώρες, όπως το Ηνωμένο Βασίλειο, η Βραζιλία, ο Καναδάς, το Ισραήλ, η Γαλλία, η Νότια Αφρική και άλλες. Παρόλο που η πλειοψηφία των ενεργών λοιμώξεων φαίνεται να συγκεντρώνεται στην ξενοδοχειακή βιομηχανία, οι χάκερ FamousSparrow APT αναζητούν επίσης μη κερδοσκοπικούς οργανισμούς, κυβερνήσεις και εταιρείες στους τομείς του δικαίου ή της μηχανικής. Με αυτά τα λόγια, είναι ασφαλές να υποθέσουμε ότι η κατασκοπεία είναι το κύριο κίνητρο αυτών των εγκληματιών.
Ενώ η προσαρμοσμένη πίσω πόρτα SparrowDoor χειρίζεται ένα μεγάλο μέρος της επίθεσης, οι χάκερ FamousSparrow APT βασίζονται επίσης σε δημόσια εργαλεία - Mimikatz, ProcDump και Nbtscan. Τα δύο πρώτα χρησιμοποιούνται για την απόκτηση διαπιστευτηρίων σύνδεσης από το μολυσμένο σύστημα, ενώ το βοηθητικό πρόγραμμα Nbtscan είναι ένας σαρωτής NetBIOS, ο οποίος επιτρέπει στους εγκληματίες να θέσουν σε κίνδυνο άλλες συσκευές στο ίδιο δίκτυο.
Ενώ ο τρόπος λειτουργίας του FamousSparrow APT μοιράζεται ομοιότητες με άλλες ομάδες APT, είναι πολύ νωρίς για να προσδιοριστεί εάν συνδέονται με μια πιο γνωστή ομάδα hacking. Η υποδομή δικτύου τους φαίνεται να είναι μοναδική και το SparrowDoor Backdoor έχει χρησιμοποιηθεί μέχρι στιγμής μόνο από τη συγκεκριμένη ομάδα.
