FamousSparrow APT remiasi „SparrowDoor“ ir „ProxyLogon“ pažeidžiamumu

Įsilaužėliai iš „FamousSparrow APT“ yra gana nauji žaidėjai elektroninių nusikaltimų srityje. Pirmosios jų kampanijos buvo pastebėtos 2021 m. Kovo mėn., Kai jos išnaudojo „Microsoft Exchange“ serverių „ProxyLogon“ pažeidžiamumą. Šiuo laikotarpiu beveik keliolika pažengusių nuolatinės grėsmės (APT) veikėjų piktnaudžiavo nulinės dienos pažeidžiamumu užgrobdami „Microsoft Exchange“ pašto serverius. Šiais laikais „FamousSparrow APT“ įsilaužėliai vis dar pasitiki šiuo pažeidžiamumu, tačiau jie taip pat taikosi į kitas žiniatinklyje rodomas programas, pvz., „SharePoint“ ir „Oracle Opera“. Žinoma, jų taikiniai yra tinklai, kuriuose veikia pasenusios programinės įrangos versijos, potencialiai pažeidžiamos senų išnaudojimų.

Šių įsilaužėlių naudojamas „Trodo Trojan“ parašas yra „SparrowDoor“. Šiuo metu ji yra labai aktyvi ir sugebėjo užkrėsti tinklus keliolikoje šalių, įskaitant Jungtinę Karalystę, Braziliją, Kanadą, Izraelį, Prancūziją, Pietų Afriką ir kitas. Nors atrodo, kad dauguma aktyvių infekcijų yra sutelktos viešbučių pramonėje, „FamousSparrow APT“ įsilaužėliai taip pat seka ne pelno siekiančias organizacijas, vyriausybes ir įmones teisės ar inžinerijos srityse. Tai sakant, galima drąsiai manyti, kad šnipinėjimas yra pagrindinė šių nusikaltėlių motyvacija.

Nors pritaikytos „SparrowDoor“ durys tvarko didelę atakos dalį, „FamousSparrow APT“ įsilaužėliai taip pat remiasi viešaisiais įrankiais - „Mimikatz“, „ProcDump“ ir „Nbtscan“. Pirmieji du naudojami bandant gauti prisijungimo duomenis iš užkrėstos sistemos, o „Nbtscan“ programa yra „NetBIOS“ skaitytuvas, leidžiantis nusikaltėliams pakenkti kitiems to paties tinklo įrenginiams.

Nors „FamousSparrow“ APT modus operandi turi panašumų su kitomis APT grupėmis, dar per anksti nustatyti, ar jos yra prijungtos prie geriau žinomos įsilaužėlių grupės. Atrodo, kad jų tinklo infrastruktūra yra unikali, o „SparrowDoor Backdoor“ iki šiol naudojo tik ši grupė.