FamousSparrowAPTはSparrowDoorとProxyLogonの脆弱性に依存しています
FamousSparrow APTのハッカーは、サイバー犯罪分野のかなり新しいプレーヤーです。彼らの最初のキャンペーンは、MicrosoftExchangeサーバーのProxyLogonの脆弱性を悪用していた2021年3月に発見されました。この期間中、12近くのAdvanced Persistent Threat(APT)アクターが、ゼロデイ脆弱性を悪用してMicrosoftExchangeメールサーバーを乗っ取っていました。現在、FamousSparrow APTハッカーは依然としてこの脆弱性に依存しているようですが、SharePointやOracleOperaなどの他のWeb公開アプリケーションも標的にしています。もちろん、彼らのターゲットは、古いバージョンのソフトウェアを実行しているネットワークであり、古いエクスプロイトに対して潜在的に脆弱です。
これらのハッカーが使用するシグネチャーバックドアトロイの木馬はSparrowDoorです。現在非常に活発であり、英国、ブラジル、カナダ、イスラエル、フランス、南アフリカなどを含む12か国のネットワークに感染することに成功しています。活動的な感染の大部分はホテル業界に集中しているように見えますが、FamousSparrow APTハッカーは、非営利団体、政府、法律またはエンジニアリング部門の企業も追跡しています。そうは言っても、スパイ行為がこれらの犯罪者の主な動機であると考えるのは安全です。
カスタムのSparrowDoorバックドアが攻撃の大部分を処理しますが、FamousSparrow APTハッカーは、Mimikatz、ProcDump、およびNbtscanなどの公開ツールにも依存しています。最初の2つは、感染したシステムからログイン資格情報を取得するために使用されますが、NbtscanユーティリティはNetBIOSスキャナーであり、犯罪者が同じネットワーク上の他のデバイスを侵害できるようにします。
FamousSparrow APTの手口は他のAPTグループと類似点を共有していますが、それらがより有名なハッキンググループに接続されているかどうかを判断するには時期尚早です。彼らのネットワークインフラストラクチャは独特であるように見え、SparrowDoorBackdoorはこれまでこの特定のグループによってのみ使用されてきました。