Группа FamousSparrow использует уязвимости Microsoft Exchange для кибершпионажа

Компания ESET – лидер в области информационной безопасности – сообщает об обнаружении новой шпионской группы FamousSparrow, которая активна по меньшей мере с 2019 года. Киберпреступники в основном атакуют гостиницы во всем мире, а в некоторых случаях целями становятся правительственные учреждения, международные организации, а также инжиниринговые и юридические компании. Такой выбор целей свидетельствует о кибершпионаже как основной цели злоумышленников.

Кибершпионаж является целью группы FamousSparrow. ESET.

Рис.1. Географическое расположение целей FamousSparrow.

Исследователи ESET обнаружили использование группой FamousSparrow уязвимостей Microsoft Exchange, известных как ProxyLogon. Этот ряд уязвимостей удаленного выполнения кода использовался больше чем десятью разными APT-группами для получения контроля над почтовыми серверами Exchange во всем мире.

Согласно данным телеметрии ESET, группа киберпреступников начала использовать уязвимости на следующий день после выхода исправления. Поэтому это еще одна APT-группа, у которой был доступ к ряду уязвимостей ProxyLogon в марте 2021 года.

«Этот случай еще раз подтверждает важность своевременного обновления приложений, которые используются с помощью Интернета. В случае отсутствия этой возможности лучше вообще не открывать программы с доступом к Интернету», – рекомендуют исследователи компании ESET.

«FamousSparrow – это единственная группа киберпреступников, которая использует специальный бэкдор SparrowDoor, выявленный в ходе исследования. Также злоумышленники применяют две версии Mimikatz. Использование любого из этих вредоносных инструментов позволяет связать инциденты с  FamousSparrow», – объясняет исследователь ESET.

Хотя исследователи ESET считают FamousSparrow отдельной группировкой, было найдено связь с другими известными APT-группами. В частности, злоумышленники разворачивали загрузчик Motnug, который использовался SparklingGoblin. Кроме этого, на устройстве, скомпрометированном группой FamousSparrow, было обнаружено Metasploit с cdn.kkxx888666 [.] com в качестве командного сервера (C&C). Этот домен связывают с группой киберпреступников, известной как DRDControl.

Более подробная информация о FamousSparrow доступна по ссылке.

 

Читайте также:

Новая реальность кибербезопасности: количество атак на государственные учреждения растет

Опасные угрозы нацеливаются на государственные учреждения и финансовые онлайн-транзакции

Современные комплексные решения ESET для всесторонней и мощной защиты предприятий