A FamousSparrow APT a SparrowDooron és a ProxyLogon biztonsági résen alapul
A FamousSparrow APT hackerei meglehetősen új szereplők a számítógépes bűnözés területén. Első kampányaikat 2021 márciusában észlelték, amikor kihasználták a ProxyLogon biztonsági rést a Microsoft Exchange szerverein. Ebben az időszakban csaknem egy tucat fejlett fenyegetés (Advanced Persistent Threat-APT) szereplő élt vissza a Microsoft Exchange levelezőszerverek eltérítésének nulla napos biztonsági résével. Manapság úgy tűnik, hogy a FamousSparrow APT hackerek továbbra is támaszkodnak erre a sebezhetőségre, de más webes alkalmazások is megcélozzák, mint például a SharePoint és az Oracle Opera. Természetesen célpontjaik azok a hálózatok, amelyek a szoftver elavult verzióit futtatják, potenciálisan sebezhetőek a régi kihasználásokkal szemben.
A hackerek által használt backdoor trójai a SparrowDoor. Jelenleg nagyon aktív, és tucatnyi országban sikerült megfertőzni a hálózatokat, köztük az Egyesült Királyságban, Brazíliában, Kanadában, Izraelben, Franciaországban, Dél -Afrikában és másokban. Bár az aktív fertőzések többsége a szállodaiparban koncentrálódik, a FamousSparrow APT hackerek a nonprofit szervezeteket, kormányokat és a jogi vagy mérnöki szektor vállalatait is követik. Mindezek alapján nyugodtan feltételezhető, hogy ezeknek a bűnözőknek a kémkedés az elsődleges motivációja.
Míg az egyedi SparrowDoor hátsó ajtó kezeli a támadás nagy részét, a FamousSparrow APT hackerek szintén a nyilvános eszközökre támaszkodnak - Mimikatz, ProcDump és Nbtscan. Az első kettőt arra használják, hogy bejelentkezési adatokat szerezzenek be a fertőzött rendszerből, míg az Nbtscan segédprogram egy NetBIOS szkenner, amely lehetővé teszi a bűnözők számára, hogy kompromittálják az azonos hálózaton lévő más eszközöket.
Míg a FamousSparrow APT módszerei hasonlóságot mutatnak más APT csoportokkal, még korai eldönteni, hogy kapcsolódnak-e egy ismertebb hackercsoporthoz. Hálózati infrastruktúrájuk egyedülállónak tűnik, és a SparrowDoor hátsó ajtót eddig csak ez a csoport használta.