En ny hackergruppe målrettet mod enheder verden over for at spionere efter dem er blevet afsløret af forskere.
Kaldet FamousSparrow af ESET, torsdag, sagde teamet, at den avancerede vedvarende trussel (APT) -gruppe-hvoraf mange er statsstøttet-er en ny indgang til cyberspionage-rummet.
APT menes at have været aktiv siden mindst 2019 og har været forbundet med angreb mod regeringer, internationale organisationer, ingeniørfirmaer, juridiske virksomheder og gæstfrihedssektoren.
Ofre er placeret i Europa, Storbritannien, Israel, Saudi -Arabien, Taiwan, Burkina Faso i Vestafrika og Amerika – herunder Brasilien, Canada og Guatemala.
ESET
ESET siger, at aktuelle trusseldata indikerer, at FamousSparrow er en separat gruppe uafhængig af andre aktive APT'er, men der ser ud til at være flere overlapninger. I et tilfælde blev udnyttelsesværktøjer, der blev brugt af trusselsaktørerne, oprettet med en kommando-og-kontrol (C2) server, der er knyttet til DRDControl APT, og i et andet ser det ud til, at en variant af en læsser, der er ansat af SparklingGoblin, har været i brug.
Det, der gør denne nye APT interessant, er, at gruppen sluttede sig til mindst 10 andre APT-grupper, der udnyttede ProxyLogon, en kæde af nul-dages sårbarheder, der blev afsløret i marts, og som blev brugt til at kompromittere Microsoft Exchange-servere verden over.
Forskerne siger, at ProxyLogon først blev udnyttet af gruppen den 3. marts, før Microsoft frigav nødrettelser til offentligheden, hvilket indikerer “det er endnu en APT -gruppe, der havde adgang til detaljerne om ProxyLogon -sårbarheden kæde i marts 2021. ”
APT har en tendens til at kompromittere internetvendte applikationer som sin første angrebsvektor, og dette inkluderer ikke kun Microsoft Exchange-servere-Microsoft SharePoint og Oracle Opera er også i skudlinjen.
FamousSparrow er den eneste kendte APT, der har gjort brug af en brugerdefineret bagdør, kaldet SparrowDoor af teamet. Bagdøren indsættes via en loader og DLL -søgerækkefølge kapring, og når den er etableret, oprettes et link til angriberens C2 til eksfiltrering af data.
Derudover tegner FamousSparrow sig for to tilpassede versioner af open source, post-exploit password-værktøjet Mimikatz, et legitimt penetrationstest-kit, der er blevet bredt misbrugt af cyberkriminelle. En version af dette værktøj droppes ved første infektion, såvel som NetBIOS-scanneren, Nbtscan og et værktøj til indsamling af data i hukommelsen, f.eks. Legitimationsoplysninger.
“Dette er en anden påmindelse om, at det er afgørende at lappe internetvendte applikationer hurtigt, eller hvis hurtig patching ikke er mulig, slet ikke at udsætte dem for internettet,” kommenterede forskerne. “Målretningen, som omfatter regeringer over hele verden, tyder på, at FamousSparrows hensigt er spionage.”
Tidligere og relateret dækning
Kinesisk APT LuminousMoth misbruger Zoom -mærke til at målrette regeringsbureauer
DeadRinger: Kinesiske APT'er rammer store teleselskaber
Ny APT -hackergruppe udnytter 'KilllSomeOne' DLL side-loading
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 