FamousSparrow APT er avhengig av SparrowDoor og sårbarheten i ProxyLogon

Hackerne fra FamousSparrow APT er ganske nye aktører innen cyberkriminalitet. Deres første kampanjer ble oppdaget i mars 2021, da de utnyttet ProxyLogon -sårbarheten i Microsoft Exchange -servere. I løpet av denne perioden misbrukte nesten et dusin av Advanced Persistent Threat (APT) -aktører null-dagers sårbarhet for å kapre Microsoft Exchange-postservere. I dag ser det ut til at FamousSparrow APT-hackerne fortsatt stoler på dette sikkerhetsproblemet, men de er også rettet mot andre web-eksponerte applikasjoner som SharePoint og Oracle Opera. Selvfølgelig er målene deres nettverk som kjører utdaterte versjoner av programvaren, potensielt sårbare for gamle bedrifter.

Signaturen bakdør Trojan som disse hackerne bruker er SparrowDoor. Det er for tiden veldig aktivt, og har klart å infisere nettverk i et titalls land, inkludert Storbritannia, Brasil, Canada, Israel, Frankrike, Sør -Afrika og andre. Selv om flertallet av de aktive infeksjonene ser ut til å være konsentrert i hotellbransjen, går FamousSparrow APT-hackere også etter ideelle organisasjoner, regjeringer og selskaper i lov- eller ingeniørindustrien. Når det er sagt, er det trygt å anta at spionasje er den primære motivasjonen til disse kriminelle.

Mens den tilpassede SparrowDoor -bakdøren håndterer en stor del av angrepet, er FamousSparrow APT -hackere også avhengige av offentlige verktøy - Mimikatz, ProcDump og Nbtscan. De to første brukes til å prøve å skaffe påloggingsinformasjon fra det infiserte systemet, mens Nbtscan -verktøyet er en NetBIOS -skanner, som gjør det mulig for kriminelle å kompromittere andre enheter på samme nettverk.

Mens FamousSparrow APTs modus operandi deler likheter med andre APT-grupper, er det for tidlig å avgjøre om de er koblet til en bedre kjent hackinggruppe. Nettverksinfrastrukturen ser ut til å være unik, og SparrowDoor Backdoor har så langt bare blitt brukt av denne gruppen.