FamousSparrow APT 依赖 SparrowDoor 和 ProxyLogon 漏洞
FamousSparrow APT 的黑客是网络犯罪领域的新玩家。他们的第一个活动是在 2021 年 3 月发现的,当时他们正在利用 Microsoft Exchange 服务器中的 ProxyLogon 漏洞。在此期间,近十几名高级持续性威胁 (APT) 攻击者正在滥用零日漏洞劫持 Microsoft Exchange 邮件服务器。如今,FamousSparrow APT 黑客似乎仍然依赖此漏洞,但他们也针对其他暴露于 Web 的应用程序,例如 SharePoint 和 Oracle Opera。当然,他们的目标是运行过时软件版本的网络,可能容易受到旧漏洞的攻击。
这些黑客使用的签名后门木马是SparrowDoor。它目前非常活跃,并成功感染了十几个国家的网络,包括英国、巴西、加拿大、以色列、法国、南非等。尽管大多数活跃感染似乎集中在酒店业,但 FamousSparrow APT 黑客也攻击非营利组织、政府和法律或工程部门的公司。话虽如此,可以安全地假设间谍活动是这些罪犯的主要动机。
虽然自定义 SparrowDoor 后门处理了大部分攻击,但 FamousSparrow APT 黑客也依赖公共工具——Mimikatz、ProcDump 和 Nbtscan。前两个用于尝试从受感染系统获取登录凭据,而 Nbtscan 实用程序是一种 NetBIOS 扫描程序,它使犯罪分子能够破坏同一网络上的其他设备。
虽然 FamousSparrow APT 的作案手法与其他 APT 组织有相似之处,但现在确定它们是否与更知名的黑客组织有联系还为时过早。他们的网络基础设施似乎是独一无二的,而 SparrowDoor 后门迄今为止仅被这个特定群体使用。