En ny hackergruppe som målretter enheter over hele verden for å spionere på dem, har blitt avslørt av forskere.
Torsdag kalt FamousSparrow av ESET, sa teamet at gruppen avansert vedvarende trussel (APT)-hvorav mange er statsstøttet-er en ny inngang til cyberspionage-området.
APT antas å ha vært aktiv siden minst 2019, og har vært knyttet til angrep mot regjeringer, internasjonale organisasjoner, ingeniørfirmaer, juridiske selskaper og gjestfrihetssektoren.
Ofre er lokalisert i Europa, Storbritannia, Israel, Saudi -Arabia, Taiwan, Burkina Faso i Vest -Afrika og Amerika – inkludert Brasil, Canada og Guatemala.
ESET
ESET sier at nåværende trusseldata indikerer at FamousSparrow er en egen gruppe uavhengig av andre aktive APT -er, men det ser ut til å være flere overlappinger. I ett tilfelle ble utnyttelsesverktøy som ble brukt av trusselaktørene satt opp med en kommando-og-kontroll (C2) -server knyttet til DRDControl APT, og i et annet ser det ut til at en variant av en laster som brukes av SparklingGoblin har vært i bruk.
Det som gjør denne nye APT interessant er at gruppen sluttet seg til minst 10 andre APT-grupper som utnyttet ProxyLogon, en kjede med null-dagers sårbarheter som ble avslørt i mars som ble brukt til å kompromittere Microsoft Exchange-servere over hele verden.
Forskerne sier at ProxyLogon først ble utnyttet av gruppen 3. mars, før Microsoft ga ut nødoppdateringer for publikum, noe som indikerer at “det er enda en APT -gruppe som hadde tilgang til detaljene om sårbarheten i ProxyLogon kjede i mars 2021. ”
APT har en tendens til å kompromittere internettvendte applikasjoner som sin første angrepsvektor, og dette inkluderer ikke bare Microsoft Exchange-servere-Microsoft SharePoint og Oracle Opera er også i brannlinjen.
FamousSparrow er den eneste kjente APT som benytter seg av en tilpasset bakdør, kalt teamet SparrowDoor. Bakdøren distribueres via en laster- og DLL -søkeordkapring, og når den er etablert, opprettes en kobling til angriperens C2 for eksfiltrering av data.
I tillegg står FamousSparrow for to tilpassede versjoner av åpen kildekode, passordverktøyet Mimikatz etter utnyttelse, et legitimt penetrasjonstestsett som har blitt misbrukt mye av nettkriminelle. En versjon av dette verktøyet slippes ved første infeksjon, i tillegg til NetBIOS-skanneren, Nbtscan, og et verktøy for å samle inn minne-data, for eksempel legitimasjon.
“Dette er en annen påminnelse om at det er kritisk å lappe applikasjoner som vender mot internett raskt, eller, hvis det ikke er mulig å lappe raskt, for ikke å avsløre dem for internett i det hele tatt,” kommenterte forskerne. “Målrettingen, som inkluderer regjeringer over hele verden, antyder at FamousSparrows hensikt er spionasje.”
Tidligere og relatert dekning
Kinesisk APT LuminousMoth misbruker Zoom -merke for å rette seg mot regjeringsbyråer
DeadRinger: Kinesiske APT -er slår til store telekommunikasjonsselskaper
Ny APT -hackergruppe utnytter 'KilllSomeOne' DLL side-loading
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 