Новооткрита  група за кибершпионаж е насочена към хотели по целия свят поне от 2019г., както и към по-известни цели, сред които  правителства, международни организации, адвокатски кантори и инженерни компании. Словашката фирма за интернет сигурност ESET забеляза хакерската група (наречена FamousSparrow) и я определи като „напреднала постоянна заплаха“.

Кибершпионите са се насочили към жертви от цяла Европа (Франция, Литва, Великобритания), Близкия изток (Израел, Саудитска Арабия), Северна и Южна Америка (Бразилия, Канада, Гватемала), Азия (Тайван) и Африка (Буркина Фасо) през атаки, обхващащи последните две години. „Насочването, което включва правителства по целия свят, предполага, че намерението на FamousSparrow е шпионаж“, заявиха изследователите на ESET Матийо Фау и Тахсийн бин Тадж.

Експлойти на ProxyLogon, използвани един ден след патч

Групата е използвала множество вектори на атаки в изложени в Интернет уеб приложения, за да пробие мрежите на своите цели, включително уязвимости при отдалечено изпълнение на код в Microsoft SharePoint, софтуера за управление на хотели Oracle Opera и недостатъците в сигурността на Microsoft Exchange, известни като ProxyLogon. След като наруши мрежите на жертвите си, групата внедрява персонализирани инструменти като вариант на Mimikatz, малък инструмент, предназначен за събиране на съдържанието на паметта (като идентификационни данни) чрез изхвърляне на процеса LSASS на Windows и задна врата, известна като SparrowDoor, използвана само от FamousSparrow. „FamousSparrow в момента е единственият потребител на персонализирана задна врата, която открихме в разследването и я нарекохме SparrowDoor. Групата използва и две персонализирани версии на Mimikatz“, обясни Бин Тадж. „Наличието на някой от тези персонализирани злонамерени инструменти може да се използва за свързване на инциденти с FamousSparrow.“ Групата за шпионаж също започна да се насочва към сървърите на Microsoft Exchange, които не са закърпени срещу уязвимостите на ProxyLogon през март 2021г., един ден след като Microsoft поправи грешките. ESET също сподели информация за най -малко десет хакерски групи, които активно злоупотребяват с тези грешки, след като се присъединиха към яростната атака на Microsoft Exchange през март. Според доклади от други  фирми експлоатацията  е започнала на 3 януари, доста преди грешките да са били докладвани дори на Microsoft, която пусна патч на 2 март. След като през март сканира около 250 000 изложени в Интернет Exchange сървъри по целия свят, Холандският институт за разкриване на уязвимости (DIVD) откри 46 000 сървъра, които не са защитени срещу уязвимостите на ProxyLogon.

Връзки с други групи 

ESET също откри някои връзки към други известни АТР групи  включително свързани варианти на зловреден софтуер и конфигурации. SparklingGoblin и DRBControl. Въпреки това, както казаха изследователите, FamousSparrow се счита за отделен субект, който вероятно е използвал достъпа си до компрометирани хотелски системи за шпионски цели, включително проследяване на конкретни високопоставени лица. „FamousSparrow е поредната APT група, която имаше достъп до уязвимостта на ProxyLogon за отдалечено изпълнение на код в началото на март 2021г. Тя има история на използване на известни уязвимости в сървърни приложения като SharePoint и Oracle Opera“, заключават изследователите на ESET. „Това е още едно напомняне, че е от решаващо значение бързо да се закърпят приложения, изложени в  интернет, или, ако бързото закърпване не е възможно, изобщо да не се излагат на интернет.“

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...
13 декември 2021

БРИТАНСКИ УЧИТЕЛИ ПОДЛОЖЕНИ НА ТОРМОЗ В TikTok ...

Учителите в Обединеното кралство съобщиха за тревожна нова тенденци...
11 декември 2021

ВЕЛИКОБРИТАНИЯ ПОД ОБСАДА

Пандемията може да промени начина ни на работа, но не е засегнала х...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
07/01/2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪ...

Хакери използваха облачна видео хостинг услуга,...
23/12/2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ С...

Вече повече от година, производителите на...
17/12/2021

EVIL TWIN ATTACK - КАКВО ПР...

Evil Twin Attack  е кибератака за...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи