FamousSparrow APT 依賴 SparrowDoor 和 ProxyLogon 漏洞

FamousSparrow APT 的黑客是網絡犯罪領域的新玩家。他們的第一個活動是在 2021 年 3 月發現的，當時他們正在利用 Microsoft Exchange 服務器中的 ProxyLogon 漏洞。在此期間，近十幾名高級持續性威脅 (APT) 攻擊者正在濫用零日漏洞劫持 Microsoft Exchange 郵件服務器。如今，FamousSparrow APT 黑客似乎仍然依賴此漏洞，但他們也針對其他暴露於 Web 的應用程序，例如 SharePoint 和 Oracle Opera。當然，他們的目標是運行過時軟件版本的網絡，可能容易受到舊漏洞的攻擊。

這些黑客使用的簽名後門木馬是SparrowDoor。它目前非常活躍，並成功感染了十幾個國家的網絡，包括英國、巴西、加拿大、以色列、法國、南非等。儘管大多數活躍感染似乎集中在酒店業，但 FamousSparrow APT 黑客也攻擊非營利組織、政府和法律或工程部門的公司。話雖如此，可以安全地假設間諜活動是這些罪犯的主要動機。

雖然自定義 SparrowDoor 後門處理了大部分攻擊，但 FamousSparrow APT 黑客也依賴公共工具——Mimikatz、ProcDump 和 Nbtscan。前兩個用於嘗試從受感染系統獲取登錄憑據，而 Nbtscan 實用程序是一種 NetBIOS 掃描程序，它使犯罪分子能夠破壞同一網絡上的其他設備。

雖然 FamousSparrow APT 的作案手法與其他 APT 組織有相似之處，但現在確定它們是否與更知名的黑客組織有聯繫還為時過早。他們的網絡基礎設施似乎是獨一無二的，而 SparrowDoor 後門迄今為止僅被這個特定群體使用。