APT FamousSparrow lanza campañas de alcance global

Se ha identificado un nuevo grupo de ciberespionaje dirigido a hoteles, gobiernos y organizaciones privadas de todo el mundo. Apodado FamousSparrow, se cree que este grupo está activo desde 2019.

Es uno de los primeros atacantes que aprovecha las vulnerabilidades de Microsoft Exchange ProxyLogon para sus ataques.

Los expertos de ESET, suponen que el grupo APT de FamousSparrow es independiente de todos los demás grupos APT activos. Las víctimas apuntadas por el grupo sugieren que la principal intención de este grupo es el espionaje.

El informe sugiere que este grupo aprovecha las vulnerabilidades en Microsoft Exchange (incluido ProxyLogon), Microsoft SharePoint y Oracle Opera.

El grupo apunta principalmente a hoteles, pero también se ha observado que apunta a organizaciones gubernamentales, empresas de ingeniería y firmas legales. Sus víctimas se encuentran en varios países, incluidos Arabia Saudita, Reino Unido, Canadá, Brasil, Francia, Taiwán y Tailandia, entre otros.

Herramientas y tácticas de Backdoor

La capacidad de la puerta trasera incluye la creación de directorios, la lectura y escritura de archivos y la extracción de datos. También se facilita con un interruptor de apagado, que permite a los piratas informáticos desinstalar o reiniciar SparrowDoor.

El informe de ESET revela que la puerta trasera SparrowDoor se carga en servidores comprometidos inicialmente a través de la técnica de secuestro de orden de búsqueda de DLL.

Luego establece una conexión con el servidor C&C de los piratas informáticos para la exfiltración de datos.

Además, FamousSparrow utiliza varias herramientas para apuntar a sus víctimas, incluidas dos versiones personalizadas de Mimikatz, ProcDump, Nbtscan (un escáner NetBIOS) y una puerta trasera personalizada llamada SparrowDoor.