FamousSparrow APT opiera się na SparrowDoor i podatności ProxyLogon

Hakerzy z APT FamousSparrow to całkiem nowi gracze na polu cyberprzestępczości. Ich pierwsze kampanie zostały zauważone w marcu 2021 roku, kiedy wykorzystywali lukę ProxyLogon w serwerach Microsoft Exchange. W tym okresie prawie tuzin podmiotów typu Advanced Persistent Threat (APT) wykorzystywał lukę zero-day do przejęcia serwerów pocztowych Microsoft Exchange. Obecnie hakerzy FamousSparrow APT wydają się nadal polegać na tej luce, ale atakują również inne aplikacje narażone na działanie Internetu, takie jak SharePoint i Oracle Opera. Oczywiście ich celem są sieci z przestarzałymi wersjami oprogramowania, potencjalnie podatnymi na stare exploity.

Sygnaturowym trojanem typu backdoor, którego używają ci hakerzy, jest SparrowDoor. Obecnie jest bardzo aktywny i zdołał zainfekować sieci w kilkunastu krajach, w tym w Wielkiej Brytanii, Brazylii, Kanadzie, Izraelu, Francji, RPA i innych. Chociaż większość aktywnych infekcji wydaje się być skoncentrowana w branży hotelarskiej, hakerzy APT FamousSparrow atakują również organizacje non-profit, rządy i firmy z sektora prawa lub inżynierii. Mając to na uwadze, można bezpiecznie założyć, że szpiegostwo jest główną motywacją tych przestępców.

Podczas gdy niestandardowy backdoor SparrowDoor obsługuje dużą część ataku, hakerzy FamousSparrow APT również polegają na narzędziach publicznych – Mimikatz, ProcDump i Nbtscan. Pierwsze dwa służą do próby uzyskania danych logowania z zainfekowanego systemu, podczas gdy narzędzie Nbtscan to skaner NetBIOS, który umożliwia przestępcom złamanie zabezpieczeń innych urządzeń w tej samej sieci.

Chociaż modus operandi FamousSparrow APT jest podobny do innych grup APT, jest zbyt wcześnie, aby stwierdzić, czy są one powiązane z lepiej znaną grupą hakerską. Ich infrastruktura sieciowa wydaje się być wyjątkowa, a SparrowDoor Backdoor był do tej pory używany tylko przez tę konkretną grupę.