FamousSparrow APT

新しいAPT（Advanced Persistent Threat）グループがサイバー犯罪の状況で設立されました。それはFamousSparrowAPTとして指定した研究者によって発見されました。このグループは2019年頃に結成されたと考えられており、それ以来活動しています。 FamousSparrowに起因する攻撃は、主にホテルのコンピューターシステムの侵害に焦点を当てています。一部の事例では、このグループは政府機関、民間エンジニアリング会社、法律事務所も対象としています。

被害者のプロフィールは、FamousSparrowの主な目標がサイバースパイ活動を行うことであることを示唆しています。グループが特定の地域をターゲットにしていないようです具体的には、被害者が世界中で検出されているため、米国、ブラジル、フランス、イングランド、サウジアラビア、タイ、台湾などからです。

アタックチェーン

3月に、FamousSparrowは攻撃操作を調整しましたすぐに、ProxyLogonとして知られるMicrosoftExchangeの脆弱性を悪用し始めました。当時、10を超える異なるAPTグループが、Exchangeメールサーバーを乗っ取るための攻撃を開始しました。グループによって悪用されるその他の脆弱性は、MicrosoftSharePointとOracleOperaに影響を及ぼします。

被害者のマシンを危険にさらした後、FamousSparrowはMimikatzの2つのカスタムバージョンと、 SparrowDoorという名前のこれまで知られていなかったバックドアマルウェアの脅威を展開しました。さらに、バックドア用のカスタムローダー、資格情報の収集を担当しているように見えるユーティリティ、およびNetBIOSスキャナーも利用します。

他のATPへの接続

調査中、infosecの研究者は、FamousSparrowとすでに確立されているATPとの間にいくつかの接続を確立することができました。たとえば、あるケースでは、グループはMotnugバリアントを使用しました。これは、 SparklingGoblinハッカー。別の被害者で、研究者は、以前にDRBControlグループにリンクされていたコマンドアンドコントロール（C2、C＆C）ドメインを使用したアクティブなMetasploitバージョンを発見しました。