Resim: Marten Bjork
Yeni keşfedilen bir CyberSpionage Grubu, dünya çapında dünya çapında en az 2019 tarihinden bu yana, hükümetler, uluslararası kuruluşlar, hukuk firmaları ve mühendislik şirketleri gibi daha yüksek profilli hedefleri hedeflemektedir.
Slovakya İnternet Güvenliği Firması ESET, Hack Topluluğu'nu (ünlüsparrow) tespit etti ve "ileri süren bir tehdit" olarak nitelendirdi.
Cyberspies, Avrupa'nın her yerinden (Fransa, Litvanya, İngiltere), Orta Doğu (İsrail, Suudi Arabistan), Amerika (Brezilya, Kanada, Guatemala), Asya (Tayvan) ve Afrika (Burkina Faso) mağdurları hedefledi. Son iki yılı kapsayan saldırılar.
"Dünya çapında hükümetleri içeren hedefleme, ünlüsparrow'un niyetinin casusluk olduğunu," ESET araştırmacıları Matthieu Faou ve Tahseen Bin Taj'ın söyledi.
Grup, Microsoft SharePoint, Oracle Opera Hotel Management yazılımı ve Proxylogon olarak bilinen Microsoft Exchange Güvenlik Kusurları dahil olmak üzere, hedeflerin ağlarını ihlal etmek için, Internet'e maruz kalan web uygulamalarında birden fazla saldırı vektörü kullanmıştır.
Mağdurların ağlarını ihlal ettikten sonra, Grup, Mimikatz varyantı gibi özel araçlar, Windows LSASS işlemini terk ederek hafıza içeriğini (kimlik bilgileri gibi) hasat etmek için tasarlanmış küçük bir araç ve yalnızca ünlüsparrow tarafından kullanılan sparrowdoor olarak bilinen bir arka kapı.
"FamousSparrow şu anda soruşturmada keşfettiğimiz ve sparrowdoor olarak adlandırdığımız özel bir arka kapı kullanıcısıdır. Grup ayrıca Mimikatz'ın iki özel sürümünü kullanıyor" dedi.
"Bu özel kötü amaçlı araçlardan herhangi birinin varlığı, olayları ünlüsparrow'a bağlamak için kullanılabilir."
Casusage Grubu ayrıca Microsoft, Microsoft'tan bir gün sonra, Microsoft'tan bir gün sonra Proxylogon güvenlik açıklarına karşı yamalı olmayan Microsoft Exchange sunucularını hedeflemeye başladı.
ESET, Mart Microsoft Exchange saldırısı çılgınlığına katıldıktan sonra bu hataları aktif olarak kötüye kullanan en az on hack grubu hakkında bilgi paylaştı.
Diğer güvenlik firmalarından gelen raporlara göre, vahşi içi sömürü 3 Ocak'ta başladı, böcekler, 2 Mart'ta yamaları serbest bırakan Microsoft'a bile bildirilmeden önce.
Yürüyüşte 250.000 internet açığa maruz kalan Exchange sunucusunu taradıktan sonra, Mart ayında dünya çapında dünya çapında, Kusurluluk Açıklaması (DivD) için Hollanda Enstitüsü, proxylogon güvenlik açıklarına karşı açılmamış 46.000 sunucu bulundu.
ESET ayrıca, kötü amaçlı yazılım varyantları ve bağlı konfigürasyonlar da dahil olmak üzere bilinen diğer APT gruplarına bağlantılar buldu. Sparklinggoblin ve DrbControl.
Bununla birlikte, araştırmacıların söylediği gibi, FamousSparrow, belirli yüksek profilli hedeflerin izini sürdürmek de dahil olmak üzere, casusluk amaçlı, casusluk amaçlı casusluk amaçlı sistemlere erişimini kaldıran ayrı bir kuruluş olarak kabul edilir.
"FamousSparrow, 2021 yılının başlarında proxylogon uzak kodu yürütme güvenlik açığına erişimi olan başka bir APT grubudur. ESET araştırmacıları," SharePoint ve Oracle Opera gibi sunucu uygulamalarında bilinen güvenlik açıklarından yararlanma öyküsü vardır. "
"Bu, İnternete bakan uygulamaları hızlıca düzeltmenin kritik önerin olduğunu veya hızlı yama mümkün değilse, onları internete maruz bırakmamak."
Microsoft autodiscover alanlarını kaydeden kimlik bilgilerini kaydetmek için acele ediyor
Rus Devlet Hackerları tarafından tekrar hedefledi Alman Parlamentosu
Microsoft Exchange Autodiscover Bugs Kaçak 100K Windows Kimlik Bilgileri
Rus devlet bilgisayar korsanları, ikincil arka kapı olarak yeni Tinyturla kötü amaçlı yazılım kullanıyor
FBI ve CISA, kritik Zoho böceklerini sömüren devlet bilgisayar korsanlarının uyarılması
Kaynak: Bleeping Computer