FamousSparrow、世界中の組織を攻撃する危険なサイバースパイ集団

サイバーセキュリティ企業 ESET の研究者は、新しく効果的な高度持続型脅威 (APT) のグループを特定しました。 FamousSparrow というあだ名を持つハッカーは、世界中で攻撃を実行する責任を負っていたでしょう。彼の専門はサイバースパイ活動です。

FamousSparrow は、少なくとも 2019 年から活動していると考えられています。他の ATP と同様に、2021 年 3 月以降、 ProxyLogonとして知られる一連の脆弱性を悪用したと考えられています。このようにして、政府の Microsoft Exchange サーバーや国際機関のセキュリティを侵害しました。 、病院およびその他の機関。

研究者らは、FamousSparrow が現在カスタム バックドアを使用している唯一のグループであるため、脅威は消えていないと結論付けています。さらに、システムが侵害されると、Mimikatz 資格情報盗難のカスタム亜種を使用すると考えられています。

有名なスパロー、政府、ホテル、スパイ活動

ESET の専門家は、FamousSparrow の動作を徹底的に分析した結果、攻撃者の目的はスパイ活動であると示唆しています。これは、政府、エンジニアリング会社、法律関係者、国際機関、保健機関などの目的を考慮したものです。

しかし、FamousSparrow の主な影響を受けるのはホテルです。興味深いことに、ハッカーはターゲットの移動や移動を追跡しようとするスパイ活動グループのツールとして機能します。後者は、宿泊場所の安全を脅かすことで可能となるだろう。

Microsoft Exchange Server は、世界中の何百万ものクライアントによって使用されているメール サーバーです。このソリューションにより、メールボックスをクラウドまたは会社のローカル サーバーに配置できるハイブリッド展開が可能になります。そして正確に言えば、パッチが適用されていないシステムは脆弱です。

今年の初めに、Microsoft は Exchange Server のバージョン 2013、2016、および 2019 の ProxyLogon に対処するいくつかのセキュリティ更新プログラムをリリースしました。その重要な性質と、FamousSparrow の脅威を考慮して、Redmond はアップデートを直ちに適用することを推奨しています。

ESETはまた、システム管理者に対しExchange Serverを更新するよう呼びかけている。しかし、このアドバイスは IT チームのメンバーだけでなく、悪意のある攻撃者は休むことがないため、サイバースペースで保護された状態を維持したいすべてのユーザーに向けられたものです。

FamousSparrow に関する ESET の完全なレポートでは、バックドアがどのように機能するかについて詳しく説明し、その手口に関する広範な情報が提供されています。これは会社のブログで参照できます。

ProxyLogon の脆弱性を悪用する悪意のある攻撃者は FamousSparrow だけではありません。専門家らは攻撃を少なくとも10のグループと関連付けている。ハッカーたちは当初、 Microsoft が脆弱性を公開し、パッチをリリースした翌日に活動を開始しました。