FamousSparrow APT är beroende av SparrowDoor och sårbarheten i ProxyLogon
Hackarna från FamousSparrow APT är ganska nya spelare inom cyberbrottsfältet. Deras första kampanjer upptäcktes i mars 2021, när de utnyttjade ProxyLogon -sårbarheten i Microsoft Exchange -servrar. Under denna period missbrukade nästan ett dussin av Advanced Persistent Threat (APT) -aktörer noll-dagars sårbarhet för att kapa Microsoft Exchange-postservrar. Numera verkar FamousSparrow APT-hackare fortfarande förlita sig på denna sårbarhet, men de riktar sig också mot andra webbexponerade applikationer som SharePoint och Oracle Opera. Naturligtvis är deras mål nätverk som kör föråldrade versioner av programvaran, potentiellt sårbara för gamla bedrifter.
Signaturen bakdörr Trojan som dessa hackare använder är SparrowDoor. Det är för närvarande mycket aktivt och har lyckats infektera nätverk i ett dussin länder, inklusive Storbritannien, Brasilien, Kanada, Israel, Frankrike, Sydafrika och andra. Även om majoriteten av de aktiva infektionerna verkar vara koncentrerade till hotellbranschen, går FamousSparrow APT-hackare också efter ideella organisationer, regeringar och företag inom lag- eller verkstadsindustrin. Med det sagt är det säkert att anta att spionage är de främsta motivationen för dessa kriminella.
Medan den anpassade SparrowDoor -bakdörren hanterar en stor del av attacken, använder FamousSparrow APT -hackare också offentliga verktyg - Mimikatz, ProcDump och Nbtscan. De två första används för att försöka få inloggningsuppgifter från det infekterade systemet, medan Nbtscan -verktyget är en NetBIOS -skanner, som gör det möjligt för de kriminella att kompromissa med andra enheter i samma nätverk.
Medan FamousSparrow APT: s modus operandi delar likheter med andra APT-grupper, är det för tidigt att avgöra om de är anslutna till en mer känd hackinggrupp. Deras nätverksinfrastruktur verkar vara unik, och SparrowDoor Backdoor har hittills bara använts av just denna grupp.