?[[425614]]?

斯洛伐克互聯(lián)網(wǎng)安全公司ESET發(fā)現(xiàn)黑客組織FamousSparrow自2019年以來，一直將目標(biāo)對準(zhǔn)世界各地的酒店，政府、國際組織、律師事務(wù)所和工程公司等知名目標(biāo)。

9月23日，據(jù)Bleeping Computer網(wǎng)站披露，該組織利用暴露在互聯(lián)網(wǎng)應(yīng)用中的多種攻擊載體來入侵其目標(biāo)網(wǎng)絡(luò)，包括微軟SharePoint中的遠(yuǎn)程代碼執(zhí)行漏洞、Oracle Opera酒店管理軟件以及被稱為ProxyLogon的微軟Exchange安全漏洞。

黑客對世界各國政府在內(nèi)的目標(biāo)展開攻擊，研究人員稱FamousSparrow可能從事間諜活動。

漏洞修補(bǔ)后，仍然存在

ESET研究人員Matthieu Faou和Tahseen Bin Taj聲稱，在過去兩年， FamousSparrow針對歐洲(法國、立陶宛、英國)、中東(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地馬拉)、亞洲(中國臺灣)和非洲(布基納法索)等地展開持續(xù)攻擊。

黑客組織在攻破受害者的網(wǎng)絡(luò)后，部署自定義工具。例如 Mimikatz 變體，除此之外還部署了僅供自己使用的后門(SparrowDoor)。

ESET研究人員Bin Taj稱，F(xiàn)amousSparrow不僅是SparrowDoor后門的唯一用戶，還使用了兩個自定義版本的 Mimikatz。這些定制的惡意工具表明，攻擊事件與FamousSparrow有聯(lián)系。

根據(jù)其他安全公司的報告，1月3日左右，漏洞已經(jīng)被利用，之后微軟公司修復(fù)了漏洞。2021年3月，在微軟修復(fù)漏洞一天后，間諜組織開始瞄準(zhǔn)未針對ProxyLogon漏洞修補(bǔ)的 Microsoft Exchange 服務(wù)器。

2021年3月，荷蘭漏洞披露研究所 (DIVD) 掃描了全球大約25萬臺暴露于互聯(lián)網(wǎng)上的Exchange 服務(wù)器后，發(fā)現(xiàn)4.6萬臺服務(wù)器未針對ProxyLogon漏洞進(jìn)行修補(bǔ)。

??

鏈接到其他 APT 組

ESET還發(fā)現(xiàn)了一些與其他已知APT團(tuán)體的鏈接，包括連接的惡意軟件變體和配置。

研究人員稱，F(xiàn)amousparrow被認(rèn)為是一個獨(dú)立的實體，早在在2021年3月初獲得了ProxyLogon遠(yuǎn)程代碼執(zhí)行漏洞，并且有利用SharePoint和Oracle Opera等服務(wù)器應(yīng)用程序中已知漏洞的歷史。很可能利用其進(jìn)入被破壞的酒店系統(tǒng)進(jìn)行間諜活動，包括跟蹤特定的高知名度目標(biāo)等。

此次攻擊事件再次提醒我們，迅速給面向互聯(lián)網(wǎng)的應(yīng)用程序打補(bǔ)丁是至關(guān)重要，如果不可能快速打補(bǔ)丁，就不把它們暴露在互聯(lián)網(wǎng)上。