En ny hackergrupp som riktar sig till enheter över hela världen för att spionera på dem har maskerats av forskare.
Kallade FamousSparrow av ESET, på torsdagen, sa teamet att gruppen Advanced persistent hot (APT)-av vilka många är statligt sponsrade-är en ny inträde till cyberspionageutrymmet.
APT tros ha varit aktivt sedan minst 2019 och har kopplats till attacker mot regeringar, internationella organisationer, verkstadsföretag, juridiska företag och gästfrihetssektorn.
Offer finns i Europa, Storbritannien, Israel, Saudiarabien, Taiwan, Burkina Faso i Västafrika och Amerika – inklusive Brasilien, Kanada och Guatemala.
ESET
ESET säger att nuvarande hotdata indikerar att FamousSparrow är en separat grupp oberoende av andra aktiva APT: er, men det verkar finnas flera överlappningar. I ett fall installerades exploateringsverktyg som används av hotaktörerna med en kommando-och-kontroll (C2) -server kopplad till DRDControl APT, och i ett annat tycks en variant av en lastare som används av SparklingGoblin ha använts.
Det som gör denna nya APT intressant är att gruppen gick med i minst 10 andra APT-grupper som utnyttjade ProxyLogon, en kedja av nolldagars sårbarheter som avslöjades i mars som användes för att kompromissa med Microsoft Exchange-servrar över hela världen.
Forskarna säger att ProxyLogon först utnyttjades av gruppen den 3 mars, innan Microsoft släppte nödkorrigeringar för allmänheten, vilket indikerar att “det är ännu en APT -grupp som hade tillgång till detaljerna i ProxyLogon -sårbarheten kedjan i mars 2021. ”
APT tenderar att äventyra internet-vända applikationer som sin första attackvektor, och detta inkluderar inte bara Microsoft Exchange-servrar-Microsoft SharePoint och Oracle Opera är också i brandlinjen.
FamousSparrow är den enda kända APT som använder sig av en anpassad bakdörr, kallad SparrowDoor av teamet. Bakdörren distribueras via en lastare och DLL -sökorder kapning, och väl etablerad skapas en länk till angriparens C2 för exfiltrering av data.
Dessutom står FamousSparrow för två anpassade versioner av den öppna källkoden, lösenordsverktyget Mimikatz efter exploatering, ett legitimt testkit för penetration som har blivit kraftigt missbrukat av it-brottslingar. En version av det här verktyget tappas vid första infektionen, liksom NetBIOS-skannern, Nbtscan, och ett verktyg för att samla in minnesdata, till exempel referenser.
“Detta är en annan påminnelse om att det är viktigt att korrigera applikationer som vetter mot internet snabbt, eller, om det inte är möjligt att snabbt korrigera, att inte exponera dem för internet alls”, kommenterade forskarna. “Inriktningen, som inkluderar regeringar över hela världen, tyder på att FamousSparrows avsikt är spionage.”
Tidigare och relaterad täckning
Kinesiska APT LuminousMoth missbrukar Zoom -varumärket för att rikta sig till regeringsbyråer
DeadRinger: Kinesiska APT: er slår stora telekommunikationsföretag
Ny APT -hackergrupp utnyttjar 'KilllSomeOne' DLL sidladdning
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 