FamousSparrow APT

Un nouveau groupe APT (Advanced Persistent Threat) a été créé sur le paysage cybercriminel. Il a été découvert par des chercheurs qui l'ont désigné sous le nom de FamousSparrow APT. Le groupe aurait été formé vers 2019 et est actif depuis lors. Les attaques attribuées à FamousSparrow visent principalement à compromettre les systèmes informatiques des hôtels. Dans certains cas, le groupe a également ciblé des organisations gouvernementales, des sociétés d'ingénierie privées et des cabinets d'avocats.

Le profil des victimes suggère que l'objectif principal de FamousSparrow est de mener des opérations de cyberespionnage. Le groupe ne semble pas cibler une certaine région géographiqueen particulier, car des victimes ont été détectées partout dans le monde - des États-Unis, du Brésil, de la France, de l'Angleterre, de l'Arabie saoudite, de la Thaïlande, de Taïwan et plus encore.

Chaîne d'attaque

En mars, FamousSparrow a ajusté ses opérations d'attaquerapidement et a commencé à exploiter les vulnérabilités de Microsoft Exchange connues sous le nom de ProxyLogon. À l'époque, plus de 10 groupes APT différents ont lancé des attaques pour s'emparer des serveurs de messagerie Exchange. D'autres vulnérabilités exploitées par le groupe affectent Microsoft SharePoint et Oracle Opera.

Après avoir compromis la machine de la victime, FamousSparrow a déployé deux versions personnalisées de Mimikatz et une menace de malware de porte dérobée jusque-là inconnue nommée SparrowDoor. En outre, ils utilisent également un chargeur personnalisé pour la porte dérobée, un utilitaire qui semble être chargé de collecter les informations d'identification et un scanner NetBIOS.

Connexions à d'autres ATP

Au cours de leur enquête, les chercheurs d'infosec ont pu établir plusieurs connexions entre FamousSparrow et des ATP déjà établis. Par exemple, dans un cas, le groupe a utilisé une variante Motnug, qui est un chargeur associé au Les pirates SparklingGoblin. Sur une autre victime, les chercheurs ont trouvé une version Metasploit active qui utilisait un domaine Command-and-Control (C2, C&C) précédemment lié au groupe DRBControl.