自2019年 以来,一个新发现的黑客组织一直瞄准世界各地的酒店,攻击政府、国际组织、律师事务所和工程公司。
斯洛伐克斯洛伐克的计算机安全软件公司ESET 发现了名字FamousSparrow 黑客组织 ,并将其定义为具有“高级可持续性威胁”的存在。
“在过去两年,网络间谍主要针对欧洲(法国、立陶宛、英国)、中东(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地马拉)、亚洲(台湾)和非洲(布基纳法索)酒店进行攻击,另外也包括世界各国政府在内的被攻击目标表明,FamousSparrow黑客组织的目的是开展间谍活动。”ESET 研究人员 Matthieu Faou 和 Tahseen Bin Taj 说。
该组织已被曝光Web在应用程序中,包括 在内的各种攻击媒介被用来破坏其目标网络Microsoft SharePoint、Oracle Opera 酒店管理软件中发现的称为ProxyLogon的微软Exchange安全漏洞。
该组织在突破受害者网络后,部署了自定义工具,如系统密码破解获取工具 (Mimikatz) 通过转存用户登录变体Windows在计算机或服务器中验证身份的程序收集内存内容,以及仅FamousSparrow黑客组织可以使用的名字是 SparrowDoor 后门。
“FamousSparrow目前,我们在调查中发现的黑客组织是 SparrowDoor 唯一定制后门的用户。该组织还使用了两个自定义版本的系统密码来破解获取工具(Mimikatz),任何这些自定义的恶意工具和 FamousSparrow组织有联系。”Bin Taj 解释道。
20212003年3月,即微软修复漏洞后的一天,黑客组织开始瞄准 ProxyLogon 修补漏洞Microsoft Exchange服务器。计算机安全软件公司ESET 还分享了至少10个微软在3月份加入Exchange在漏洞攻击狂潮之后,黑客组织积极滥用这些漏洞信息。
荷兰漏洞披露研究所(DIVD)在3月份扫描了全球大约 250,000 台暴露于互联网的微软Exchange服务器发现 46,000 台服务器不针对 ProxyLogon 修补漏洞。
ESET还发现了一些已知的“高级长期威胁”链接包括连接恶意软件进行变体和配置SparklingGoblin 和 DRBControl。
然而,正如研究人员所说,FamousSparrow该组织被认为是一个单独的组织,它可以利用感染酒店系统的访问权限进行间谍活动,包括跟踪特定的知名目标。
“2021年3月早些时候FamousSparrow黑客组织访问ProxyLogon漏洞。它有使用 SharePoint 和 Oracle Opera 等服务器应用程序中已知漏洞的丰富经验。这再次提醒我们,快速修补面向互联网的应用程序至关重要。如果无法快速修补,就不要将它们暴露在互联网上。”ESET 研究人员总结道。