FamousSparrow APT depende de SparrowDoor e da vulnerabilidade ProxyLogon
Os hackers do FamousSparrow APT são jogadores relativamente novos no campo do crime cibernético. Suas primeiras campanhas foram detectadas em março de 2021, quando exploravam a vulnerabilidade ProxyLogon em servidores Microsoft Exchange. Durante este período, quase uma dúzia de agentes de Advanced Persistent Threat (APT) estavam abusando da vulnerabilidade de dia zero para sequestrar servidores de e-mail do Microsoft Exchange. Hoje em dia, os hackers do FamousSparrow APT parecem ainda confiar nessa vulnerabilidade, mas também têm como alvo outros aplicativos expostos à Web, como o SharePoint e o Oracle Opera. Claro, seus alvos são redes que executam versões desatualizadas do software, potencialmente vulneráveis a exploits antigos.
O Trojan backdoor exclusivo que esses hackers usam é o SparrowDoor. Atualmente é muito ativo e conseguiu infectar redes em uma dúzia de países, incluindo Reino Unido, Brasil, Canadá, Israel, França, África do Sul e outros. Embora a maioria das infecções ativas pareça estar concentrada na indústria hoteleira, os hackers do FamousSparrow APT também perseguem organizações sem fins lucrativos, governos e empresas dos setores de direito ou engenharia. Dito isso, é seguro presumir que a espionagem é a principal motivação desses criminosos.
Enquanto o backdoor personalizado do SparrowDoor lida com uma grande parte do ataque, os hackers do FamousSparrow APT também contam com ferramentas públicas - Mimikatz, ProcDump e Nbtscan. Os dois primeiros são usados para tentar obter credenciais de login do sistema infectado, enquanto o utilitário Nbtscan é um scanner NetBIOS, que permite que os criminosos comprometam outros dispositivos na mesma rede.
Embora o modus operandi do FamousSparrow APT compartilhe semelhanças com outros grupos APT, é muito cedo para determinar se eles estão conectados a um grupo de hackers mais conhecido. Sua infraestrutura de rede parece ser única, e o SparrowDoor Backdoor até agora só foi usado por este grupo específico.