攻击者利用MicrosoftExchange漏洞连续三年攻击世界各地的酒店公司和其他知名目标。9月23日,根据BleepingComputer网站,该组织利用互联网应用程序中暴露的多个攻击向量入侵其目标网络,包括MicrosoftSharePoint中的远程代码执行漏洞、OracleOpera酒店管理软件和名为ProxyLogonMicrosoftExchange安全的网络漏洞。黑客将目标锁定在世界各地,包括政府,研究人员称FamousSparrow可能从事间谍活动。修补后漏洞依然存在ESET研究人员MatthieuFaou和TahseenBinTaj声称,在过去两年中,FamousSparrow的目标是欧洲(法国、立陶宛、英国)、中东(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地马拉)、亚洲(台湾、中国)和非洲(布基纳法索)的袭击仍在继续。黑客团体在破坏受害者的网络后部署自定义工具。一个例子是Mimikatz变体,它还部署了一个仅供自己使用的后门(SparrowDoor)。据ESET研究人员BinTaj介绍,FamousSparrow不仅是SparrowDoor后门的唯一用户,还使用了两个定制版本的Mimikatz。这些自定义恶意工具表明攻击与FamousSparrow有关。据其他安全公司报道,1月3日前后,该漏洞已被利用,微软已修复该漏洞。2021年3月,即微软修补该漏洞的第二天,间谍组织开始将目标锁定为未针对ProxyLogon漏洞修补的MicrosoftExchange服务器。2021年3月,荷兰漏洞披露研究所(DIVD)扫描了全球约250,000台暴露在互联网上的Exchange服务器,发现有46,000台服务器未针对ProxyLogon漏洞进行修补。与其他APT组织的链接ESET还发现了一些与其他已知APT组织的链接,包括链接的恶意软件变体和配置。研究人员表示,Famousparrow被认为是一个独立的实体,早在2021年3月就获得了ProxyLogon远程代码执行漏洞,并且有利用SharePoint和OracleOpera等服务器应用程序中已知漏洞的历史。它很可能被用于获取对受损酒店系统的访问权限以进行间谍活动,包括跟踪特定的知名目标。这次攻击再次提醒我们,快速修补面向Internet的应用程序至关重要,如果无法快速修补,则不要将它们暴露在Internet上。
