I ricercatori di ESET hanno scoperto un nuovo gruppo di cyberspionaggio, denominato FamousSparrow, che prende di mira hotel, governi e aziende private in tutto il mondo.
Il gruppo sarebbe attivo almeno dal 2019 e sfrutta le vulnerabilità di Microsoft Exchange note, come ProxyLogon. Secondo ESET, FamousSparrow ha iniziato a sfruttare le vulnerabilità il 3 marzo 2021, il giorno dopo il rilascio della patch.
Il gruppo si rivolge principalmente agli hotel di tutto il mondo e ad alcuni obiettivi di altri settori come governi, organizzazioni internazionali, società di ingegneria e studi legali in Europa (Francia, Lituania, Regno Unito), Medio Oriente (Israele, Arabia Saudita), Americhe (Brasile, Canada, Guatemala), Asia (Taiwan) e Africa (Burkina Faso).
In alcuni casi, i ricercatori sono stati in grado di trovare il vettore di compromissione iniziale utilizzato da FamousSparrow e questi sistemi sono stati compromessi tramite applicazioni Web vulnerabili con connessione a Internet. FamousSparrow avrebbe sfruttato vulnerabilità note di esecuzione di codice remoto in Microsoft Exchange (incluso ProxyLogon nel marzo 2021), Microsoft SharePoint e Oracle Opera (software aziendale per la gestione degli hotel).
Una volta che il server è compromesso, gli aggressori distribuiscono diversi strumenti personalizzati tra cui una variante di Mimikatz, una piccola utility che rilascia ProcDump su disco e lo utilizza per scaricare il processo lsass (presumibilmente per raccogliere dati segreti in memoria, come le credenziali), Nbtscan, uno scanner NetBIOS e un loader per SparrowDoor backdoor.
Il targeting, che include i governi di tutto il mondo, suggerisce che l’intento di FamousSparrow sia lo spionaggio.
https://www.welivesecurity.com/2021/09/23/famoussparrow-suspicious-hotel-guest/