?[[425925]]?

自 2019 年以來(lái)，一個(gè)新發(fā)現(xiàn)的黑客組織正在瞄準(zhǔn)全世界各地的酒店作為攻擊對(duì)象，此外他們還攻擊了政府、國(guó)際組織、律師事務(wù)所和工程公司等知名目標(biāo)。

總部位于斯洛伐克的一家電腦安全軟件公司ESET 發(fā)現(xiàn)了名為FamousSparrow 的黑客組織 ，并將其定義為具有“高級(jí)持續(xù)性威脅”的存在。

“在過(guò)去兩年，網(wǎng)絡(luò)間諜主要針對(duì)歐洲(法國(guó)、立陶宛、英國(guó))、中東(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地馬拉)、亞洲(臺(tái)灣)和非洲(布基納法索)酒店進(jìn)行攻擊，另外也包括世界各國(guó)政府在內(nèi)的被攻擊目標(biāo)表明，F(xiàn)amousSparrow黑客組織的目的是展開(kāi)間諜活動(dòng)。”ESET 研究人員 Matthieu Faou 和 Tahseen Bin Taj 說(shuō)。

該組織已在暴露在Web的應(yīng)用程序中，使用多種攻擊媒介來(lái)破壞其目標(biāo)網(wǎng)絡(luò)，包括 Microsoft SharePoint、Oracle Opera 酒店管理軟件中發(fā)現(xiàn)的稱(chēng)為ProxyLogon的微軟Exchange安全漏洞。

在攻破受害者的網(wǎng)絡(luò)后，該組織部署了自定義工具，例如系統(tǒng)密碼破解獲取工具 (Mimikatz) 變體，通過(guò)轉(zhuǎn)存用戶在登錄Windows計(jì)算機(jī)或服務(wù)器時(shí)驗(yàn)證身份的程序來(lái)收集內(nèi)存內(nèi)容，以及僅FamousSparrow黑客組織可使用的名為 SparrowDoor 的后門(mén)。

“FamousSparrow黑客組織目前是我們?cè)谡{(diào)查中發(fā)現(xiàn)的名為 SparrowDoor 自定義后門(mén)的唯一用戶。該組織還使用了兩個(gè)自定義版本的系統(tǒng)密碼破解獲取工具(Mimikatz)，任何這些自定義惡意工具的都與 FamousSparrow組織存在著聯(lián)系?！盉in Taj 解釋道。

2021年3月，也就是微軟修復(fù)漏洞的一天后，黑客組織就開(kāi)始瞄準(zhǔn)未針對(duì) ProxyLogon 漏洞修補(bǔ)的Microsoft Exchange服務(wù)器。電腦安全軟件公司ESET 還分享了至少10個(gè)在加入3月份的微軟Exchange漏洞攻擊狂潮后，積極濫用這些漏洞信息的黑客組織。

荷蘭漏洞披露研究所(DIVD)在3月份掃描了全球大約 250,000 臺(tái)暴露于互聯(lián)網(wǎng)的微軟Exchange服務(wù)器后，發(fā)現(xiàn) 46,000 臺(tái)服務(wù)器未針對(duì) ProxyLogon 漏洞進(jìn)行修補(bǔ)。

??

ESET還發(fā)現(xiàn)了一些已知具有“高級(jí)長(zhǎng)期威脅”的鏈接，包括連接惡意軟件進(jìn)行變體和配置的SparklingGoblin 和 DRBControl。

然而，正如研究人員所說(shuō)，F(xiàn)amousSparrow組織被認(rèn)為是一個(gè)單獨(dú)存在的組織，它可能會(huì)利用受感染酒店的系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行間諜活動(dòng)，其中包括跟蹤特定的知名目標(biāo)。

“在2021年3月早些時(shí)候FamousSparrow黑客組織就訪問(wèn)過(guò)ProxyLogon漏洞。它擁有利用 SharePoint 和 Oracle Opera 等服務(wù)器應(yīng)用程序中已知漏洞的豐富經(jīng)驗(yàn)。這再次提醒我們，快速修補(bǔ)面向互聯(lián)網(wǎng)的應(yīng)用程序至關(guān)重要。如果無(wú)法快速修補(bǔ)，就不要將它們暴露在互聯(lián)網(wǎng)上?！盓SET 研究人員總結(jié)道。