Последнее обновление 12.01.2023 — QGames
Недавно обнаруженная группа кибершпионажа нацелена на отели по всему миру по крайней мере с 2019 года, а также на такие высокопоставленные цели, как правительства, международные организации, юридические фирмы и инженерные компании.
Словацкая компания по интернет-безопасности ESET обнаружила хакерскую группу (получившую название FamousSparrow) и описала ее как «продвинутую постоянную угрозу».
Кибершпионы нацелены на жертв со всей Европы (Франция, Литва, Великобритания), Ближнего Востока (Израиль, Саудовская Аравия), Америки (Бразилия, Канада, Гватемала), Азии (Тайвань) и Африки (Буркина-Фасо) в атаки за последние два года.
«Атака, в которой участвуют правительства всего мира, предполагает, что цель FamousSparrow — шпионаж», — заявили исследователи ESET Матье Фау и Тахсин Бин Тадж.
Эксплойты ProxyLogon, использованные через день после патча
Группа использовала несколько векторов атак в веб-приложениях, доступных в Интернете, для взлома сетей своих целей, в том числе уязвимости удаленного выполнения кода в Microsoft SharePoint, программном обеспечении для управления отелями Oracle Opera и уязвимости безопасности Microsoft Exchange, известные как ProxyLogon.
После взлома сетей своих жертв группа развернула специальные инструменты, такие как вариант Mimikatz, небольшой инструмент, предназначенный для сбора содержимого памяти (например, учетных данных) путем сброса процесса Windows LSASS, и бэкдор, известный как SparrowDoor, используемый только FamousSparrow.
«FamousSparrow в настоящее время является единственным пользователем настраиваемого бэкдора, который мы обнаружили в ходе расследования и который называется SparrowDoor. Группа также использует две настраиваемые версии Mimikatz», — пояснил Бин Тадж.
«Наличие любого из этих настраиваемых вредоносных инструментов может быть использовано для подключения инцидентов к FamousSparrow».
Шпионская группа также начала нацеливаться на серверы Microsoft Exchange, не защищенные от уязвимостей ProxyLogon в марте 2021 года, через день после того, как Microsoft исправила ошибки.
ESET также поделилась информацией как минимум о десяти хакерских группах, активно злоупотребляющих этими ошибками после присоединения к мартовской безумной атаке Microsoft Exchange.
Согласно сообщениям других фирм по безопасности, эксплуатация в реальных условиях началась 3 января, задолго до того, как об ошибках даже сообщили в Microsoft, которая выпустила исправления 2 марта .
В марте Голландский институт раскрытия уязвимостей (DIVD) просканировал примерно 250 000 серверов Exchange, доступных в Интернете, по всему миру и обнаружил 46 000 серверов, на которых не были исправлены уязвимости ProxyLogon.
Ссылки на другие группы APT
ESET также обнаружила некоторые ссылки на другие известные группы APT, в том числе подключенные варианты и конфигурации вредоносных программ. SparklingGoblin и DRBControl.
Однако, как заявили исследователи, FamousSparrow считается отдельной организацией, которая, вероятно, использовала свой доступ к скомпрометированным системам отелей в целях шпионажа, включая отслеживание конкретных громких целей.
«FamousSparrow — еще одна группа APT, которая имела доступ к уязвимости удаленного выполнения кода ProxyLogon в начале марта 2021 года. Она имеет историю использования известных уязвимостей в серверных приложениях, таких как SharePoint и Oracle Opera», — заключили исследователи ESET .
«Это еще одно напоминание о том, что критически важно быстро исправлять приложения, подключенные к Интернету, или, если быстрое исправление невозможно, вообще не открывать их доступ в Интернет».
