Компания ESET обнаружила новую APT-группировку FamousSparrow, которая существует как минимум с 2019 года и атакует отели, международные организации, инженерные фирмы и юридические компании по всему миру. Считается, что целью FamousSparrow является кибершпионаж.
Жертвы хак-группы находятся в Европе (Франция, Литва, Великобритания), на Ближнем Востоке (Израиль, Саудовская Аравия), в Америке (Бразилия, Канада, Гватемала), Азии (Тайвань) и Африке (Буркина-Фасо), рассказывают эксперты.
В основном атаки группировки происходят по одной схеме: группа использует уязвимости в веб-приложениях для проникновения в сети своих жертв. В числе уязвимостей, которые эксплуатируют злоумышленники, баги в Microsoft Exchange, SharePoint и Oracle Opera (ПО для отелей).
Подчеркивается, что FamouseSparrow стала одной из первых APT, которая организовала атаки на уязвимости ProxyLogon, обнаруженные в почтовых серверах Microsoft Exchange. Группа уже эксплуатировала ProxyLogon всего через день после того, как Microsoft сообщила о багах.
Закрепившись в сети жертвы, злоумышленники разворачивают специальный бэкдор SparrowDoor, который они используют в качестве опорной точки для дальнейшего перемещения в сети взломанной организации, применяя для этого общедоступные инструменты, включая Mimikatz и Metasploit.
ESET пишет, что FamousSparrow использовала инструменты, ранее связанные со шпионскими операциями других хак-групп, включая DRDControl и SparklingGoblin, однако пока исследователи не готовы сообщить что-либо конкретное об атрибуции группировки.
