ESET повідомив про виявлення кібершпигунської групи, яка використовує вразливість Microsoft Exchange
Компанія ESET оголосила про виявлення групи кібершпигунства з використанням вразливостей Microsoft Exchange
ESET повідомляє про виявлення нової шпигунської групи FamousSparrow, яка активно працює щонайменше з 2019 року. Кіберзлочинці в основному атакують готелі по всьому світу, а в деяких випадках мішенню стають державні установи, міжнародні організації, а також інженерні та юридичні компанії. Такий вибір цілей вказує на кібершпигунство як на головну мету зловмисників.
Дослідники ESET виявили використання відомою групою Sparrow вразливостей Microsoft Exchange , відомих як ProxyLogon. Цей набір вразливостей віддаленого виконання коду був використаний більш ніж десятьма різними групами APT, щоб отримати контроль над поштовими серверами Exchange по всьому світу.
Згідно з телеметрією ESET, група кіберзлочинців почала використовувати вразливості на наступний день після виходу патча. Тому це ще одна група APT, яка мала доступ до ряду вразливостей ProxyLogon у березні 2021 року.
«Цей випадок ще раз підтверджує важливість своєчасного оновлення додатків, які використовуються через інтернет. При відсутності цієї можливості краще взагалі не відкривати програми з доступом до інтернету», - рекомендують дослідники від ESET.
"FamousSparrow - єдина група кіберзлочинців, яка використовує спеціальний бекдор SparrowDoor, виявлений в ході дослідження. Також зловмисники використовують дві версії Mimikatz. Використання будь-якого з цих шкідливихінструментів дозволяє пов'язати інциденти з FamousSparrow" , - пояснює дослідник ESET.
Хоча дослідники ESET вважають FamousSparrow окремою групою, було знайдено зв'язок з іншими відомими групами APT. Зокрема, нападники розгорнули завантажувач Motnug, яким користувався SparklingGoblin. Крім того, Метасплойт був виявлений на пристрої, скомпрометованому відомим Горобцем з cdn.kkx888666 [.] com як командним сервером (C&C). Цей домен пов'язаний з групою кіберзлочинців, відомих як DRDControl.