Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Advanced Persistent Threat (APT) FamousSparrow APT

FamousSparrow APT

Por Mezo en Advanced Persistent Threat (APT)
Traducir a:
Español

Se ha establecido un nuevo grupo APT (Advanced Persistent Threat) en el panorama de los ciberdelincuentes. Fue descubierto por investigadores que lo han designado como APT FamousSparrow. Se cree que el grupo se formó alrededor de 2019 y está activo desde entonces. Los ataques atribuidos a FamousSparrow se centran principalmente en comprometer los sistemas informáticos de los hoteles. En casos selectos, el grupo también se ha dirigido a organizaciones gubernamentales, empresas privadas de ingeniería y bufetes de abogados.

El perfil de las víctimas sugiere que el objetivo principal de FamousSparrow es realizar operaciones de ciberespionaje. El grupo no parece estar apuntando a una determinada región geográfica.específicamente, ya que se han detectado víctimas en todo el mundo: de EE. UU., Brasil, Francia, Inglaterra, Arabia Saudita, Tailandia, Taiwán y más.

Cadena de ataque

En marzo, FamousSparrow ajustó sus operaciones de ataquerápidamente y comenzó a explotar las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon. En aquel entonces, más de 10 grupos APT diferentes lanzaron ataques para apoderarse de los servidores de correo de Exchange. Otras vulnerabilidades explotadas por el grupo afectan a Microsoft SharePoint y Oracle Opera.

Después de comprometer la máquina de la víctima, FamousSparrow implementó dos versiones personalizadas de Mimikatz y una amenaza de malware de puerta trasera previamente desconocida llamada SparrowDoor. Además, también utilizan un cargador personalizado para la puerta trasera, una utilidad que parece tener la tarea de recopilar credenciales y un escáner NetBIOS.

Conexiones a otros ATP

Durante su investigación, los investigadores de infosec pudieron establecer varias conexiones entre FamousSparrow y los ATP ya establecidos. Por ejemplo, en un caso, el grupo usó una variante de Motnug, que es un cargador asociado con el Hackers de SparklingGoblin. En una víctima diferente, los investigadores encontraron una versión activa de Metasploit que usaba un dominio Command-and-Control (C2, C&C) previamente vinculado al grupo DRBControl.

Tendencias

Mas Visto

Cargando...