FamousSparrow missbrukar Microsoft Exchanges sårbarhetskedja, känd sedan mars 2021
ESET-forskare har upptäckt en ny cyberspionagegrupp som främst riktar sig till hotell, regeringar, internationella organisationer, ingenjörsbyråer och advokatbyråer i Europa och runt om i världen. ESET kallade den här gruppen FamousSparrow och tror att den har varit aktiv sedan åtminstone 2019. FamousSparrow-offren finns i Frankrike, Litauen, Storbritannien, Mellanöstern (Israel, Saudiarabien), Amerika (Brasilien, Kanada, Guatemala), Asien (Taiwan) ) och Afrika (Burkina Faso). De utvalda målen tyder på att FamousSparrows mål verkligen är cyberspionage.
När de undersökte telemetridata upptäckte teamet att FamousSparrow utnyttjade sårbarheter i Microsoft Exchange känd som ProxyLogon och rapporterades av ESET så tidigt som i mars i år. Denna sårbarhet för fjärrkörning av kod har använts av mer än 10 APT-grupper för att ta över Exchange-e-postservrar över hela världen. Enligt ESET telemetri började FamousSparrow utnyttja sårbarheterna redan den 3 mars 2021, dagen efter att patcharna släpptes. Det betyder att det i mars 2021 är en annan APT-grupp som hade tillgång till information om ProxyLogon-sårbarheten.
“FamousSparrow är för närvarande den enda användaren av en anpassad bakdörr som vi upptäckte under vår forskning och heter SparrowDoor. Gruppen använder också två modifierade versioner av Mimikatz. Närvaron av något av dessa anpassade skadliga verktyg kan användas för att länka incidenter till FamousSparrow, säger ESET-forskaren Tahseen Bin Taj.
Även om ESET Research anser att FamousSparrow är en separat enhet, har den anknytning till andra välkända APT-grupper. I ett fall använde angriparna en variant av Motnug, en lastare som används av SparklingGoblin. I ett annat fall körde en maskin som äventyrats av FamousSparrow Metasploit med cdn.kkxx888666 [.] com som kommando- och kontrollserver, en domän som är associerad med en grupp som kallas DRDControl. För mer teknisk information om FamousSparrow, läs bloggen “FamousSparrow: A Suspicious Hotel Guest” på WeLiveSecurity. Se till att följa ESET Research på Twitter för de senaste forskningsnyheterna.
nnnt
FamousSparrow missbrukar Microsoft Exchanges sårbarhetskedja, känd sedan mars 2021n n
ESET-forskare har upptäckt en ny cyberspionagegrupp som främst riktar sig till hotell, regeringar, internationella organisationer, ingenjörsbyråer och advokatbyråer i Europa och runt om i världen. ESET kallade den här gruppen FamousSparrow och tror att den har varit aktiv sedan åtminstone 2019. FamousSparrow-offren finns i Frankrike, Litauen, Storbritannien, Mellanöstern (Israel, Saudiarabien), Amerika (Brasilien, Kanada, Guatemala), Asien (Taiwan) ) och Afrika (Burkina Faso). De utvalda målen tyder på att FamousSparrows mål verkligen är cyberspionage.nnnn
När de undersökte telemetridata upptäckte teamet att FamousSparrow utnyttjade sårbarheter i Microsoft Exchange känd som ProxyLogon och rapporterades av ESET så tidigt som i mars i år. Denna sårbarhet för fjärrkörning av kod har använts av mer än 10 APT-grupper för att ta över Exchange-e-postservrar över hela världen. Enligt ESET telemetri började FamousSparrow utnyttja sårbarheterna redan den 3 mars 2021, dagen efter att patcharna släpptes. Det betyder att det i mars 2021 är en annan APT-grupp som hade tillgång till information om ProxyLogon-sårbarheten.nnnn
u201cFamousSparrow är för närvarande den enda användaren av en anpassad bakdörr som vi upptäckte under vår forskning och som heter SparrowDoor. Gruppen använder också två modifierade versioner av Mimikatz. Närvaron av något av dessa anpassade skadliga verktyg kan användas för att länka incidenter till FamousSparrow, säger ESET-forskaren Tahseen Bin Taj.nnnn
Även om ESET Research anser att FamousSparrow är en separat enhet, har den anknytning till andra välkända APT-grupper. I ett fall använde angriparna en variant av Motnug, en lastare som används av SparklingGoblin. I ett annat fall körde en maskin som äventyrats av FamousSparrow Metasploit med cdn.kkxx888666 [.] com som kommando- och kontrollserver, en domän som är associerad med en grupp som kallas DRDControl. För mer teknisk information om FamousSparrow, läs bloggen u201cFamousSparrow: A Suspicious Hotel Guestu201d på WeLiveSecurity. Se till att följa ESET Research på Twitter för de senaste forskningsnyheterna.nnnn
Den här artikeln skrevs av en av våra partners. Våra redaktörer är inte ansvariga för innehållet.n “,”författare”:{“@type”:”Person”,”name”:”Aroged”,”url”:”https://www.aroged. com/author/admin/”,”sameAs”:[“https://www.aroged.com”]},”articleSection”:[“Technology”],”image”:{“@type”:”ImageObject”,”url”:”https://www.aroged.com/wp-content/uploads/2021/09/In-Europe -the-FamousSparrow-APT-group-is-spying-on-hotels.png”,”width”:1920,”height”:1080},”publisher”:{“@type”:”Organisation”,”name” :””,”url”:”https://www.aroged.com”,”logo”:{“@type”:”ImageObject”,”url”:””},”sameAs”:[“https://www.facebook.com/Arogeed”,”https://twitter.com/Thearoged”,”https://t.me/Aroged”,”https://www.linkedin.com/company/aroged/”,”https://www.youtube.com/channel/UCiVipsa5WnWr7FLzgVf6cZw”]}}
