Κατασκόπευε ξενοδοχεία σε όλο τον κόσμο

On

Σεπ 25, 2021

Μια προσφάτως ανακαλυφθείσα ομάδα κατασκοπείας στον κυβερνοχώρο που ονομάζεται FamousSparrow στοχεύει

ξενοδοχεία

σε όλο τον κόσμο από το 2019 τουλάχιστον, καθώς και στόχους υψηλότερου προφίλ, όπως

κυβερνήσεις

, διεθνείς οργανισμούς, δικηγορικά γραφεία και

εταιρείες

μηχανικών.

hotels - Κατασκόπευε ξενοδοχεία σε όλο τον κόσμο

Δείτε επίσης:

FBI, CISA και NSA: Κλιμάκωση επιθέσεων ransomware Conti

Η σλοβακική

εταιρεία

ασφάλειας διαδικτύου ESET εντόπισε την ομάδα hacking (που ονομάστηκε FamousSparrow) και την περιέγραψε ως “προηγμένη επίμονη απειλή”.

Οι κυβερνοκατάσκοποι έχουν στοχεύσει θύματα από όλη την Ευρώπη (Γαλλία, Λιθουανία,

Ηνωμένο Βασίλειο

), τη Μέση Ανατολή (Ισραήλ, Σαουδική Αραβία), την Αμερική (

Βραζιλία

, Καναδάς, Γουατεμάλα), Ασία (Ταϊβάν) και Αφρική (Μπουρκίνα Φάσο) σε

επιθέσεις

που εκτείνονται τα τελευταία δύο χρόνια.

Exploits ProxyLogon χρησιμοποιούνται μία ημέρα μετά την

ενημέρωση

κώδικα

Η ομάδα έχει χρησιμοποιήσει πολλαπλά διανύσματα επίθεσης σε διαδικτυακές

εφαρμογές

που εκτίθενται στο

διαδίκτυο

για να παραβιάσει τα δίκτυα των στόχων της, συμπεριλαμβανομένων ευπάθειων εκτέλεσης απομακρυσμένου κώδικα στο Microsoft SharePoint, του λογισμικού διαχείρισης ξενοδοχείων Oracle Opera και ελαττωμάτων

ασφαλείας

του

Microsoft Exchange

γνωστά ως ProxyLogon.

Δείτε επίσης:

Οι χειριστές του REVil ransomware εξαπατούν τους

συνεργάτες

τους

Μετά την

παραβίαση

των δικτύων των θυμάτων τους, η ομάδα χρησιμοποίησε προσαρμοσμένα εργαλεία όπως μια

παραλλαγή

Mimikatz, ένα μικρό

εργαλείο

σχεδιασμένο για τη συλλογή περιεχομένου μνήμης (όπως

credentials

) με την

απόρριψη

της διαδικασίας Windows LSASS και ένα backdoor γνωστό ως SparrowDoor που χρησιμοποιείται μόνο από το FamousSparrow.

Η ομάδα κατασκοπείας άρχισε να στοχεύει και servers του

Microsoft Exchange

που δεν έχουν διορθωθεί ενάντια στα τρωτά σημεία του ProxyLogon τον Μάρτιο του 2021, μία ημέρα αφότου η Microsoft διόρθωσε τα σφάλματα.

Η ESET μοιράστηκε και πληροφορίες για τουλάχιστον δέκα ομάδες hacking που καταχράστηκαν ενεργά αυτά τα σφάλματα μετά την ένταξη τους στις

επιθέσεις

ενάντια στον

Microsoft Exchange

που έγιναν τον Μάρτιο.

Σύμφωνα με αναφορές άλλων εταιρειών

ασφαλείας

, το exploitation από τους χάκερ ξεκίνησε στις 3 Ιανουαρίου, πολύ πριν καν αναφερθούν τα σφάλματα στη Microsoft, η οποία κυκλοφόρησε τις

ενημερώσεις

κώδικα στις 2 Μαρτίου.

Μετά τη σάρωση περίπου 250.000 server Exchange που εκτέθηκαν στο

Διαδίκτυο

παγκοσμίως τον Μάρτιο, το Ολλανδικό Ινστιτούτο Αποκάλυψης Ευπάθειας (DIVD) βρήκε 46.000 μη ενημερωμένους server έναντι των τρωτών σημείων του ProxyLogon.

Δείτε επίσης:

Marketron: Το BlackMatter ransomware στόχευσε τον software πάροχο

Σύνδεσμοι σε άλλες ομάδες APT

Η ESET βρήκε και ορισμένους συνδέσμους προς άλλες γνωστές ομάδες APT, συμπεριλαμβανομένων παραλλαγών κακόβουλου λογισμικού και συνδεδεμένων configurations – SparklingGoblin και DRBControl.

Ωστόσο, όπως είπαν οι ερευνητές, το FamousSparrow θεωρείται μια ξεχωριστή οντότητα που πιθανότατα εκμεταλλεύτηκε την πρόσβασή του σε παραβιασμένα

συστήματα

ξενοδοχείων για σκοπούς κατασκοπείας, συμπεριλαμβανομένης της παρακολούθησης συγκεκριμένων στόχων υψηλού προφίλ.

Πηγή πληροφοριών: bleepingcomputer.com

Πηγή SecNews.gr