一种新的高级持续威胁 (APT) 组织是对世界各地酒店以及政府、国际组织、工程公司和律师事务所发起的一系列攻击的幕后黑手。
斯洛伐克网络安全公司ESET将该网络间谍组织命名为FamousSparrow,它说至少自2019年8月以来一直活跃,受害者遍布非洲、亚洲、欧洲、中东和美洲,横跨布基纳法索、台湾、法国、立陶宛、英国、以色列、沙特阿拉伯、巴西、加拿大和危地马拉等几个国家。
除了2021年3月曝光的Microsoft Exchange Server中的ProxyLogon远程代码执行漏洞之外,该组织发起的攻击还涉及利用 SharePoint和Oracle Opera等服务器应用程序中的已知漏洞,使其成为最新的威胁行为者,在该漏洞的细节被公开之前就已经获得了该漏洞。
据ESET称,利用这些漏洞的入侵始于3月3日,导致部署了多个恶意工件,包括两个定制版本的Mimikatz凭据窃取程序、一个名为Nbtscan的NetBIOS扫描程序,以及一个名为SparrowDoor的自定义植入程序的加载程序。
SparrowDoor通过利用一种被称为DLL搜索顺序劫持的技术进行安装,黑客可以在目标内部网络的新角落中执行任意命令以及收集敏感信息,并通过远程命令将其泄露到他们的控制的(C2)服务器。
虽然ESET没有将FamousSparrow组织归于特定国家,但它确实发现其技术与SparklingGoblin(与中国有关联的Winnti Group的一个分支)和DRBControl(也与之前确定的Winnti和Emissary Panda活动的恶意软件有重叠)之间有相似之处。
ESET研究人员Tahseen Bin Taj和Matthieu Faou说:“这再次提醒我们,快速修补面向互联网的应用程序至关重要,或者,如果无法进行快速修补,则根本不要将它们暴露在互联网上。”