+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

ESET повідомив про виявлення кібершпигунської групи, яка використовує вразливість Microsoft Exchange

Компанія ESET оголосила про виявлення групи кібершпигунства з використанням вразливостей Microsoft Exchange

ESET повідомляє про виявлення нової шпигунської групи FamousSparrow, яка активно працює щонайменше з 2019 року. Кіберзлочинці в основному атакують готелі по всьому світу, а в деяких випадках мішенню стають державні установи, міжнародні організації, а також інженерні та юридичні компанії. Такий вибір цілей вказує на кібершпигунство як на головну мету зловмисників.

Дослідники ESET виявили використання відомою групою Sparrow вразливостей Microsoft Exchange , відомих як ProxyLogon. Цей набір вразливостей віддаленого виконання коду був використаний більш ніж десятьма різними групами APT, щоб отримати контроль над поштовими серверами Exchange по всьому світу.

Згідно з телеметрією ESET, група кіберзлочинців почала використовувати вразливості на наступний день після виходу патча. Тому це ще одна група APT, яка мала доступ до ряду вразливостей ProxyLogon у березні 2021 року.

«Цей випадок ще раз підтверджує важливість своєчасного оновлення додатків, які використовуються через інтернет. При відсутності цієї можливості краще взагалі не відкривати програми з доступом до інтернету», - рекомендують дослідники від ESET.

"FamousSparrow - єдина група кіберзлочинців, яка використовує спеціальний бекдор SparrowDoor, виявлений в ході дослідження. Також зловмисники використовують дві версії Mimikatz. Використання будь-якого з цих шкідливихінструментів дозволяє пов'язати інциденти з  FamousSparrow" , - пояснює дослідник ESET.

Хоча дослідники ESET вважають FamousSparrow окремою групою, було знайдено зв'язок з іншими відомими групами APT. Зокрема, нападники розгорнули завантажувач Motnug, яким користувався SparklingGoblin. Крім того, Метасплойт був виявлений на пристрої, скомпрометованому відомим Горобцем з cdn.kkx888666 [.] com як командним сервером (C&C). Цей домен пов'язаний з групою кіберзлочинців, відомих як DRDControl.

Інші новини