斯洛伐克互联网安全公司ESET发现黑客组织FamousSparrow自2019年以来,政府、国际组织、律师事务所政府、国际组织、律师事务所和工程公司。
9月23日,据Bleeping Computer该组织利用暴露在互联网应用程序中的各种攻击载体来入侵其目标网络,包括微软SharePoint中远程代码执行漏洞,Oracle Opera酒店管理软件,被称为ProxyLogon的微软Exchange安全漏洞。
研究人员表示,黑客攻击世界各国政府的目标,FamousSparrow可从事间谍活动。
漏洞修复后,仍然存在
ESET研究人员Matthieu Faou和Tahseen Bin Taj在过去的两年里, 声称FamousSparrow继续攻击欧洲(法国、立陶宛、英国)、中东(以色列、沙特阿拉伯)、美国(巴西、加拿大、危地马拉)、亚洲(台湾)和非洲(布基纳法索)。
黑客组织在突破受害者网络后部署定制工具。Mimikatz 变体,除此之外,还部署了己使用(SparrowDoor)。
ESET研究人员Bin Taj称,FamousSparrow不仅是SparrowDoor唯一的后门用户也使用了两个自定义版本的 Mimikatz。这些定制的恶意工具表明攻击事件和FamousSparrow有联系。
据其他安全公司报道,漏洞已于1月3日左右被利用,随后微软修复。2021年3月,微软修复漏洞一天后,间谍组织开始瞄准未针对的目标ProxyLogon 修补漏洞Microsoft Exchange 服务器。
2021今年3月,荷兰漏洞披露研究所 (DIVD) 扫描了大约25万台暴露在互联网上的全球互联网Exchange 服务器后,发现4.6万台服务器未针对ProxyLogon修补漏洞。
链接到其他 APT 组
ESET还发现了一些和其他已知的APT集团链接包括恶意软件变体和连接配置。
研究人员说,研究人员说,Famousparrow早在2021年3月初,它就被认为是一个独立的实体ProxyLogon远程代码执行漏洞漏洞SharePoint和Oracle Opera服务器应用程序中已知漏洞的历史。间谍活动很可能被用于破坏的酒店系统,包括跟踪特定的高知名度目标。
这次攻击再次提醒我们,对于互联网应用程序来说,快速补丁是非常重要的。如果不能快速补丁,就不会暴露在互联网上。