FamousSparrow APT полагается на SparrowDoor и уязвимость ProxyLogon

Хакеры из FamousSparrow APT - довольно новые игроки в области киберпреступности. Их первые кампании были замечены в марте 2021 года, когда они использовали уязвимость ProxyLogon на серверах Microsoft Exchange. В течение этого периода около дюжины участников Advanced Persistent Threat (APT) злоупотребляли уязвимостью нулевого дня для захвата почтовых серверов Microsoft Exchange. В настоящее время хакеры FamousSparrow APT, похоже, все еще полагаются на эту уязвимость, но они также нацелены на другие веб-приложения, такие как SharePoint и Oracle Opera. Конечно, их целями являются сети с устаревшими версиями программного обеспечения, потенциально уязвимыми для старых эксплойтов.

Сигнатурный троян-бэкдор, который используют эти хакеры, - SparrowDoor. В настоящее время он очень активен и сумел заразить сети в десятке стран, включая Великобританию, Бразилию, Канаду, Израиль, Францию, Южную Африку и другие. Хотя большинство активных заражений, по-видимому, сосредоточено в гостиничном бизнесе, хакеры FamousSparrow APT также преследуют некоммерческие организации, правительства и компании в юридическом или инженерном секторах. С учетом сказанного, можно с уверенностью предположить, что шпионаж является основной мотивацией этих преступников.

В то время как специальный бэкдор SparrowDoor обрабатывает большую часть атаки, хакеры FamousSparrow APT также полагаются на общедоступные инструменты - Mimikatz, ProcDump и Nbtscan. Первые два используются для попытки получить учетные данные для входа в зараженную систему, а утилита Nbtscan - это сканер NetBIOS, который позволяет злоумышленникам взломать другие устройства в той же сети.

Хотя методы работы APT FamousSparrow имеют общие черты с другими группами APT, еще слишком рано определять, связаны ли они с более известной хакерской группой. Их сетевая инфраструктура кажется уникальной, и бэкдор SparrowDoor до сих пор использовался только этой конкретной группой.