聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该 APT 组织被指至少活跃于2019年,和针对政府、国际组织机构、工程公司、法人公司和酒店的攻击活动有关。受害者位于欧洲、英国、以色列、沙特阿拉伯、中国台湾、西非布基纳法索以及美洲地区如巴西、加拿大和危地马拉。
ESET 表示,当前的威胁数据表明,FamousSparrow 是独立于其它活跃APT组织的组织,然而它们之间看似存在多个重合之处。比如,这些威胁组织使用的利用工具通过C2服务器设立,和 DRDControl APT 有关,另外,SparklingGoblin 应用的加载器变体似乎也在使用状态。
该 APT 组织有意思的地方在于它和其它至少10个APT组织一样利用了 ProxyLogon。研究人员表示,该组织首次在3月3号利用 ProxyLogon 漏洞即微软发布紧急更新之前,这说明“还有另外一个 APT 组织在2021年3月能够访问 ProxyLogon 漏洞详情。”
该APT组织倾向于将面向互联网的应用程序作为其初始攻击向量,不仅包括微软 Exchange 服务器,还包括微软 SharePoint 和 Oracle Opera。
FamousSparrow 是唯一一个使用自定义后门 “SparrowDoor” 的已知APT组织。该后门通过加载器和DLL搜索顺序劫持部署,一旦设立,就会创建用于提取数据的攻击者C2。
另外,FamousSparrow 也创建了开源的利用后密码工具 Mimikatz 的两个自定义版本。Mimikatz 是已被广泛滥用的合法渗透测试工具包。初始感染后,Mimikatz 工具的某个版本、NetBIOS 扫描工具 Nbtscan 以及手机内存数据的工具被释放。
研究人员指出,“这提醒我们迅速修复面向互联网的应用程序至关重要,否则可导致应用程序被暴露到互联网。而攻击目标包括全球各地的政府组织这一事实表明 FamousSparrow 旨在执行间谍活动。“
https://www.zdnet.com/article/new-advanced-hacking-group-targets-governments-engineers-worldwide/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~