Група FamousSparrow використовує уразливості Microsoft Exchange для кібершпигунства

Компанія ESET – лідер у галузі інформаційної безпеки – повідомляє про виявлення нової шпигунської групи FamousSparrow, яка активна щонайменше з 2019 року. Кіберзлочинці переважно атакують готелі у всьому світі, а у деяких випадках цілями стають урядові установи, міжнародні організації, а також інжинірингові та юридичні компанії. Такий вибір цілей свідчить про кібершпигунство як основну мету зловмисників.

Кібершпигунство є метою групи FamousSparrow. ESET.

Рис.1. Географічне розташування цілей FamousSparrow.

Дослідники ESET виявили використання групою FamousSparrow уразливостей Microsoft Exchange, відомих як ProxyLogon. Цей ряд уразливостей віддаленого виконання коду використовувався більше ніж десятьма різними APT-групами для отримання контролю над поштовими серверами Exchange у всьому світі.

Згідно з даними телеметрії ESET, група кіберзлочинців почала використовувати уразливості на наступний день після виходу виправлення. Тому це ще одна APT-група, яка мала доступ до ряду уразливостей ProxyLogon у березні 2021 року.

«Цей випадок вкотре підтверджує важливість своєчасного оновлення додатків, які використовуються за допомогою Інтернету. У разі відсутності цієї можливості краще взагалі не відкривати програми з доступом до Інтернету», – рекомендують дослідники компанії ESET.

«FamousSparrow – це єдина група кіберзлочинців, яка використовує спеціальний бекдор SparrowDoor, виявлений під час дослідження. Також зловмисники застосовують дві версії Mimikatz. Використання будь-якого з  цих шкідливих інструментів дозволяє пов’язати інциденти з FamousSparrow», – пояснює дослідник ESET.

Хоча дослідники ESET вважають FamousSparrow окремим угрупуванням, було знайдено зв'язок із іншими відомими APT-групами. Зокрема зловмисники розгортали завантажувач Motnug, який використовувався SparklingGoblin. Крім цього, на пристрої, скомпрометованому групою FamousSparrow, було виявлено Metasploit з cdn.kkxx888666 [.] com у ролі командного сервера (C&C). Цей домен пов’язують з групою кіберзлочинців, відомою як DRDControl.

Більш детальна інформація про FamousSparrow доступна за посиланням.

 

Читайте також:

Нова реальність кібербезпеки: кількість атак на державні установи зростає

Небезпечні загрози націлюються на державні установи та фінансові онлайн-транзакції

Сучасні комплексні рішення ESET для всебічного та потужного захисту підприємств