FamousSparrow APT se basa en SparrowDoor y la vulnerabilidad ProxyLogon
Los piratas informáticos de FamousSparrow APT son jugadores bastante nuevos en el campo del ciberdelito. Sus primeras campañas se detectaron en marzo de 2021, cuando explotaban la vulnerabilidad ProxyLogon en los servidores de Microsoft Exchange. Durante este período, casi una docena de actores de Advanced Persistent Threat (APT) abusaron de la vulnerabilidad de día cero para secuestrar los servidores de correo de Microsoft Exchange. Hoy en día, los piratas informáticos de FamousSparrow APT parecen seguir confiando en esta vulnerabilidad, pero también están apuntando a otras aplicaciones expuestas a la Web, como SharePoint y Oracle Opera. Por supuesto, sus objetivos son redes que ejecutan versiones obsoletas del software, potencialmente vulnerables a exploits antiguos.
El troyano de puerta trasera distintivo que utilizan estos piratas informáticos es SparrowDoor. Actualmente es muy activo y ha logrado infectar redes en una decena de países, entre ellos Reino Unido, Brasil, Canadá, Israel, Francia, Sudáfrica y otros. Aunque la mayoría de las infecciones activas parecen estar concentradas en la industria hotelera, los piratas informáticos de FamousSparrow APT también persiguen a organizaciones sin fines de lucro, gobiernos y empresas en los sectores de la ley o la ingeniería. Dicho esto, es seguro asumir que el espionaje es la motivación principal de estos criminales.
Mientras que la puerta trasera personalizada SparrowDoor maneja una gran parte del ataque, los piratas informáticos APT de FamousSparrow también dependen de herramientas públicas: Mimikatz, ProcDump y Nbtscan. Los dos primeros se utilizan para intentar obtener credenciales de inicio de sesión del sistema infectado, mientras que la utilidad Nbtscan es un escáner NetBIOS, que permite a los delincuentes comprometer otros dispositivos en la misma red.
Si bien el modus operandi de FamousSparrow APT comparte similitudes con otros grupos de APT, es demasiado pronto para determinar si están conectados a un grupo de piratería más conocido. Su infraestructura de red parece ser única, y la puerta trasera SparrowDoor hasta ahora solo ha sido utilizada por este grupo en particular.