Компанія ESET – лідер у галузі інформаційної безпеки – повідомляє про виявлення нової шпигунської групи FamousSparrow, яка активна щонайменше з 2019 року. Кіберзлочинці переважно атакують готелі у всьому світі, а у деяких випадках цілями стають урядові установи, міжнародні організації, а також інжинірингові та юридичні компанії. Такий вибір цілей свідчить про кібершпигунство як основну мету зловмисників.
Рис.1. Географічне розташування цілей FamousSparrow.
Дослідники ESET виявили використання групою FamousSparrow уразливостей Microsoft Exchange, відомих як ProxyLogon. Цей ряд уразливостей віддаленого виконання коду використовувався більше ніж десятьма різними APT-групами для отримання контролю над поштовими серверами Exchange у всьому світі.
Згідно з даними телеметрії ESET, група кіберзлочинців почала використовувати уразливості на наступний день після виходу виправлення. Тому це ще одна APT-група, яка мала доступ до ряду уразливостей ProxyLogon у березні 2021 року.
«Цей випадок вкотре підтверджує важливість своєчасного оновлення додатків, які використовуються за допомогою Інтернету. У разі відсутності цієї можливості краще взагалі не відкривати програми з доступом до Інтернету», – рекомендують дослідники компанії ESET.
«FamousSparrow – це єдина група кіберзлочинців, яка використовує спеціальний бекдор SparrowDoor, виявлений під час дослідження. Також зловмисники застосовують дві версії Mimikatz. Використання будь-якого з цих шкідливих інструментів дозволяє пов’язати інциденти з FamousSparrow», – пояснює дослідник ESET.
Хоча дослідники ESET вважають FamousSparrow окремим угрупуванням, було знайдено зв’язок із іншими відомими APT-групами. Зокрема зловмисники розгортали завантажувач Motnug, який використовувався SparklingGoblin. Крім цього, на пристрої, скомпрометованому групою FamousSparrow, було виявлено Metasploit з cdn.kkxx888666 [.] com у ролі командного сервера (C&C). Цей домен пов’язують з групою кіберзлочинців, відомою як DRDControl.
Джерело ESET
З питань придбання продуктів ESET звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua