FamousSparrow APT 依賴 SparrowDoor 和 ProxyLogon 漏洞
FamousSparrow APT 的黑客是網絡犯罪領域的新玩家。他們的第一個活動是在 2021 年 3 月發現的,當時他們正在利用 Microsoft Exchange 服務器中的 ProxyLogon 漏洞。在此期間,近十幾名高級持續性威脅 (APT) 攻擊者正在濫用零日漏洞劫持 Microsoft Exchange 郵件服務器。如今,FamousSparrow APT 黑客似乎仍然依賴此漏洞,但他們也針對其他暴露於 Web 的應用程序,例如 SharePoint 和 Oracle Opera。當然,他們的目標是運行過時軟件版本的網絡,可能容易受到舊漏洞的攻擊。
這些黑客使用的簽名後門木馬是SparrowDoor。它目前非常活躍,並成功感染了十幾個國家的網絡,包括英國、巴西、加拿大、以色列、法國、南非等。儘管大多數活躍感染似乎集中在酒店業,但 FamousSparrow APT 黑客也攻擊非營利組織、政府和法律或工程部門的公司。話雖如此,可以安全地假設間諜活動是這些罪犯的主要動機。
雖然自定義 SparrowDoor 後門處理了大部分攻擊,但 FamousSparrow APT 黑客也依賴公共工具——Mimikatz、ProcDump 和 Nbtscan。前兩個用於嘗試從受感染系統獲取登錄憑據,而 Nbtscan 實用程序是一種 NetBIOS 掃描程序,它使犯罪分子能夠破壞同一網絡上的其他設備。
雖然 FamousSparrow APT 的作案手法與其他 APT 組織有相似之處,但現在確定它們是否與更知名的黑客組織有聯繫還為時過早。他們的網絡基礎設施似乎是獨一無二的,而 SparrowDoor 後門迄今為止僅被這個特定群體使用。