0
0
Rastreado como FamousSparrow, grupo visa principalmente hotéis, mas também atacou órgãos governamentais e escritórios de advocacia
Um grupo de ciberespionagem ativo desde pelo menos 2019 começou a explorar o ProxyLogon um dia depois que a vulnerabilidade do Exchange Server, da Microsoft, foi divulgada, dizem pesquisadores de segurança da ESET. Rastreado como FamousSparrow, o grupo visa principalmente hotéis, mas também atacou órgãos governamentais, escritórios de advocacia e empresas internacionais em cerca de uma dúzia de países, incluindo Brasil, Canadá, Israel, Arábia Saudita, Taiwan e o Reino Unido.
A partir de 3 de março, um dia após a Microsoft anunciar que hackers tinham como alvo várias vulnerabilidades de dia zero no Exchange Server, o FamousSparrow também começou a explorar as falhas de execução remota de código rastreadas como ProxyLogon, revela a ESET.
A empresa de segurança cibernética considera o FamousSparrow uma ameaça que atua de forma independente de outros grupos, mas com algumas conexões com grupos de ameaças persistentes avançadas (APT) conhecidos, incluindo SparklingGoblin e DRBControl, ambos vinculados à China.
O grupo de espionagem cibernética provavelmente teve como alvo vulnerabilidades no Exchange (incluindo o ProxyLogon), no Microsoft SharePoint e no Oracle Opera, software de gerenciamento de hotéis, para eliminar ferramentas maliciosas, incluindo Mimikatz, um pequeno utilitário que remove ProcDump, o scanner Nbtscan NetBIOS e um carregador para SparrowDoor, a porta dos fundos (backdoor) personalizada do grupo.
O carregador é responsável por configurar a persistência e o SparrowDoor é reiniciado com uma chave de eliminação, para ter o privilégio de desinstalar ou reiniciar a backdoor. Os comandos suportados pelo malware permitem que ele feche um processo atual, gere um processo svchost, crie um diretório, renomeie ou exclua arquivos, grave dados em um arquivo, remova configurações de persistência e reinicie a backdoor.
O acesso rápido do FamousSparrow às vulnerabilidades do ProxyLogon no início de março, junto com a história do grupo de exploração de brechas de segurança conhecidas em aplicativos de servidor, mostra que as organizações devem corrigir aplicativos voltados para a internet o mais rápido possível ou garantir que esses ativos não sejam mais expostos ao Internet.
“A segmentação, que inclui governos em todo o mundo, sugere que a intenção do FamousSparrow é a espionagem. Destacamos alguns links para SparklingGoblin e DRBControl, mas não consideramos que esses grupos sejam iguais”, conclui a ESET.
FONTE: CISO ADVISOR