Μια προσφάτως ανακαλυφθείσα ομάδα κατασκοπείας στον κυβερνοχώρο που ονομάζεται FamousSparrow στοχεύει ξενοδοχεία σε όλο τον κόσμο από το 2019 τουλάχιστον, καθώς και στόχους υψηλότερου προφίλ, όπως κυβερνήσεις, διεθνείς οργανισμούς, δικηγορικά γραφεία και εταιρείες μηχανικών.
Δείτε επίσης: FBI, CISA και NSA: Κλιμάκωση επιθέσεων ransomware Conti
Η σλοβακική εταιρεία ασφάλειας διαδικτύου ESET εντόπισε την ομάδα hacking (που ονομάστηκε FamousSparrow) και την περιέγραψε ως “προηγμένη επίμονη απειλή”.
Οι κυβερνοκατάσκοποι έχουν στοχεύσει θύματα από όλη την Ευρώπη (Γαλλία, Λιθουανία, Ηνωμένο Βασίλειο), τη Μέση Ανατολή (Ισραήλ, Σαουδική Αραβία), την Αμερική (Βραζιλία, Καναδάς, Γουατεμάλα), Ασία (Ταϊβάν) και Αφρική (Μπουρκίνα Φάσο) σε επιθέσεις που εκτείνονται τα τελευταία δύο χρόνια.
Exploits ProxyLogon χρησιμοποιούνται μία ημέρα μετά την ενημέρωση κώδικα
Η ομάδα έχει χρησιμοποιήσει πολλαπλά διανύσματα επίθεσης σε διαδικτυακές εφαρμογές που εκτίθενται στο διαδίκτυο για να παραβιάσει τα δίκτυα των στόχων της, συμπεριλαμβανομένων ευπάθειων εκτέλεσης απομακρυσμένου κώδικα στο Microsoft SharePoint, του λογισμικού διαχείρισης ξενοδοχείων Oracle Opera και ελαττωμάτων ασφαλείας του Microsoft Exchange γνωστά ως ProxyLogon.
Δείτε επίσης: Οι χειριστές του REVil ransomware εξαπατούν τους συνεργάτες τους
Μετά την παραβίαση των δικτύων των θυμάτων τους, η ομάδα χρησιμοποίησε προσαρμοσμένα εργαλεία όπως μια παραλλαγή Mimikatz, ένα μικρό εργαλείο σχεδιασμένο για τη συλλογή περιεχομένου μνήμης (όπως credentials) με την απόρριψη της διαδικασίας Windows LSASS και ένα backdoor γνωστό ως SparrowDoor που χρησιμοποιείται μόνο από το FamousSparrow.
Η ομάδα κατασκοπείας άρχισε να στοχεύει και servers του Microsoft Exchange που δεν έχουν διορθωθεί ενάντια στα τρωτά σημεία του ProxyLogon τον Μάρτιο του 2021, μία ημέρα αφότου η Microsoft διόρθωσε τα σφάλματα.
Η ESET μοιράστηκε και πληροφορίες για τουλάχιστον δέκα ομάδες hacking που καταχράστηκαν ενεργά αυτά τα σφάλματα μετά την ένταξη τους στις επιθέσεις ενάντια στον Microsoft Exchange που έγιναν τον Μάρτιο.
Σύμφωνα με αναφορές άλλων εταιρειών ασφαλείας, το exploitation από τους χάκερ ξεκίνησε στις 3 Ιανουαρίου, πολύ πριν καν αναφερθούν τα σφάλματα στη Microsoft, η οποία κυκλοφόρησε τις ενημερώσεις κώδικα στις 2 Μαρτίου.
Μετά τη σάρωση περίπου 250.000 server Exchange που εκτέθηκαν στο Διαδίκτυο παγκοσμίως τον Μάρτιο, το Ολλανδικό Ινστιτούτο Αποκάλυψης Ευπάθειας (DIVD) βρήκε 46.000 μη ενημερωμένους server έναντι των τρωτών σημείων του ProxyLogon.
Δείτε επίσης: Marketron: Το BlackMatter ransomware στόχευσε τον software πάροχο
Σύνδεσμοι σε άλλες ομάδες APT
Η ESET βρήκε και ορισμένους συνδέσμους προς άλλες γνωστές ομάδες APT, συμπεριλαμβανομένων παραλλαγών κακόβουλου λογισμικού και συνδεδεμένων configurations – SparklingGoblin και DRBControl.
Ωστόσο, όπως είπαν οι ερευνητές, το FamousSparrow θεωρείται μια ξεχωριστή οντότητα που πιθανότατα εκμεταλλεύτηκε την πρόσβασή του σε παραβιασμένα συστήματα ξενοδοχείων για σκοπούς κατασκοπείας, συμπεριλαμβανομένης της παρακολούθησης συγκεκριμένων στόχων υψηλού προφίλ.
Πηγή πληροφοριών: bleepingcomputer.com
