自2019年以来,一个新发现的黑客组织将目标锁定在世界各地的酒店,以及政府、国际组织、律师事务所和工程公司等备受瞩目的目标。总部位于斯洛伐克的计算机安全软件公司ESET发现了名为FamousSparrow的黑客组织,并将其定义为“高级持续威胁”。“在过去两年中,网络间谍活动的目标是欧洲(法国、立陶宛、英国)、中东(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地马拉)、亚洲(台湾)和非洲(布基纳法索)的酒店。ESET研究人员MatthieuFaou和TahseenBinTaj说:“攻击以及包括世界各国政府在内的目标目标表明FamousSparrow黑客组织旨在进行间谍活动。”它的目标网络,包括MicrosoftSharePoint,MicrosoftExchange安全漏洞,称为ProxyLogon,存在于OracleOpera酒店管理软件中。在破坏受害者的网络后,该组织部署了自定义工具,例如系统密码破解工具(Mimikatz)的变体,通过转储用户在登录Windows计算机或服务器时用于验证自己的程序来收集内存内容,并且只有一个名为SparrowDoorav的后门可访问FamousSparrow黑客组。“FamousSparrow黑客组织是目前我们在调查中发现的一个名为SparrowDoor的自定义后门的唯一用户。该组织还使用了两个自定义版本的系统密码破解获取工具(Mimikatz),这些自定义恶意工具中的任何一个都有与FamousSparrow集团的联系,”BinTaj解释道。2021年3月,即微软修复该漏洞的第二天,黑客组织开始瞄准未针对ProxyLogon漏洞打补丁的MicrosoftExchange服务器。计算机安全软件公司ESET还分享了至少10个黑客组织的信息,这些黑客组织在3月份加入MicrosoftExchange漏洞攻击狂潮后,正在积极滥用有关MicrosoftExchange漏洞利用的信息。荷兰漏洞披露研究所(DIVD)在3月份扫描了全球约250,000台暴露于Internet的MicrosoftExchange服务器后,发现有46,000台服务器未针对ProxyLogon漏洞进行修补。ESET还发现了一些已知的“高级持续性威胁”的链接,包括SparklingGoblin和DRBControl,它们链接恶意软件的变体和配置。然而,正如研究人员所说,据信独立存在的FamousSparrow组织可能会利用对受感染酒店系统的访问权限进行间谍活动,其中包括跟踪特定的知名目标。“FamousSparrow黑客组织早在2021年3月就获得了ProxyLogon漏洞。它在利用SharePoint和OracleOpera等服务器应用程序中的已知漏洞方面拥有丰富的经验。这很关键。如果无法快速修补它们,请不要将它们暴露在互联网上,”ESET研究人员总结道。
