FamousSparrow APT

In der cyberkriminellen Landschaft wurde eine neue APT-Gruppe (Advanced Persistent Threat) eingerichtet. Es wurde von Forschern entdeckt, die es als FamousSparow APT bezeichnet haben. Es wird angenommen, dass die Gruppe um 2019 gegründet wurde und seitdem aktiv ist. Die FamousSparow zugeschriebenen Angriffe konzentrieren sich hauptsächlich auf die Kompromittierung von Hotelcomputersystemen. In ausgewählten Fällen hat die Gruppe auch Regierungsorganisationen, private Ingenieurbüros und Anwaltskanzleien ins Visier genommen.

Das Profil der Opfer legt nahe, dass das Hauptziel von FamousSparow darin besteht, Cyberspionage-Operationen durchzuführen. Die Gruppe scheint nicht auf eine bestimmte geografische Region abzuzielen, da Opfer auf der ganzen Welt entdeckt wurden - aus den USA, Brasilien, Frankreich, England, Saudi-Arabien, Thailand, Taiwan und mehr.

Angriffskette

Bereits im März hat FamousSparow seine Angriffsoperationen schnell angepasst und begann, die als ProxyLogon bekannten Sicherheitslücken von Microsoft Exchange auszunutzen. Damals starteten über 10 verschiedene APT-Gruppen Angriffe, um Exchange-Mailserver zu übernehmen. Andere von der Gruppe ausgenutzte Schwachstellen betreffen Microsoft SharePoint und Oracle Opera.

Nachdem der Computer des Opfers kompromittiert wurde, setzte FamousSparow zwei benutzerdefinierte Versionen von Mimikatz und eine zuvor unbekannte Backdoor-Malware-Bedrohung namens SparrowDoor ein. Darüber hinaus verwenden sie auch einen benutzerdefinierten Loader für die Hintertür, ein Dienstprogramm, das anscheinend mit dem Sammeln von Anmeldeinformationen beauftragt ist, und einen NetBIOS-Scanner.

Verbindungen zu anderen ATPs

Während ihrer Untersuchung konnten die infosec-Forscher mehrere Verbindungen zwischen FamousSparow und bereits etablierten ATPs herstellen. In einem Fall verwendete die Gruppe beispielsweise eine Motnug-Variante, bei der es sich um einen Lader handelt, der mit dem Funkelnde Goblin- Hacker verbunden ist. Bei einem anderen Opfer fanden die Forscher eine aktive Metasploit-Version, die eine Command-and-Control (C2, C&C)-Domäne verwendet, die zuvor mit der DRBControl-Gruppe verknüpft war.