El grupo FamousSparrow APT llega a hoteles, gobiernos y empresas



Un grupo de ciberespionaje denominado FamousSparrow se dirige a hoteles, gobiernos y empresas privadas de todo el mundo, aprovechando la vulnerabilidad de ProxyLogon Microsoft Trade Server junto con su propia puerta trasera personalizada, SparrowDoor.

Los investigadores de ESET que rastrean al grupo creen que ha estado activo desde 2019, cuando comprometió una organización en África, dice el investigador de ESET Matthieu Faou, quien descubrió FamousSparrow con su colega Tahseen Bin Taj. El 3 de marzo, los atacantes comenzaron a explotar las vulnerabilidades de ProxyLogon que han sido utilizadas por más de 10 grupos de amenazas persistentes avanzadas (APT) para apoderarse de los servidores de Exchange.

FamousSparrow se dirige principalmente a hoteles sin embargo, los investigadores han visto algunos objetivos en otros sectores, incluidos gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados. Sus víctimas se encuentran en países como Brasil, Burkina Faso, Sudáfrica, Canadá, Israel, Francia, Lituania, Guatemala, Arabia Saudita, Taiwán, Tailandia y el Reino Unido.

«En el lado del malware, el grupo no evolucionó mucho, pero en términos de orientación, hemos visto un cambio en 2020 cuando comenzaron a apuntar a hoteles en todo el mundo», dice Faou sobre la evolución del grupo. FamousSparrow se destaca por su enfoque en hoteles, además de objetivos APT populares, como gobiernos.

«Creemos que su principal motivación es el espionaje», añade. «Los hoteles son los principales objetivos de los grupos de APT porque permite a los atacantes recopilar datos sobre los hábitos de viaje de sus objetivos. También pueden potencialmente violar la infraestructura Wi-Fi de los hoteles para espiar el tráfico de pink no cifrado».

Microsoft Exchange en la mezcla
En los casos en que los investigadores pudieron determinar el vector de compromiso inicial, dicen que FamousSparrow se dirigió a las víctimas a través de aplicaciones vulnerables de Internet. Se cree que el grupo explotó fallas conocidas de ejecución remota de código en Microsoft Exchange, incluido el error ProxyLogon en marzo, así como Microsoft SharePoint y Oracle Opera, una forma de application empresarial para la gestión hotelera.

Con el servidor comprometido, los atacantes implementan varias herramientas personalizadas: una variante de Mimikatz, el escáner NetBIOS Nbtscan y una pequeña utilidad que coloca ProcDump en el disco, lo que elimina otro proceso que, según los investigadores, probablemente se usa para recopilar secretos en la memoria, como cartas credenciales.

Los atacantes también dejaron caer un cargador para su puerta trasera SparrowDoor, una herramienta que es única para ellos.

«SparrowDoor permite a los atacantes [almost] controle completamente las máquinas comprometidas, incluida la ejecución de cualquier comando arbitrario o la filtración de cualquier archivo «, dice Faou. La implementación de SparrowDoor, así como el uso de vulnerabilidades del lado del servidor, es el rasgo principal del grupo.

Los investigadores consideran FamousSparrow es su propia entidad, pero ha encontrado conexiones con otros grupos APT conocidos, incluidos SparklingGoblin y DRBControl.

«Es possible que compartan herramientas o accedan a las víctimas, pero creemos que son grupos de amenaza separados», dice Faou.

Este es un recordatorio para que las organizaciones apliquen parches a las aplicaciones de Web rápidamente, dicen los investigadores. Si no es posible aplicar un parche rápido, se recomienda a las empresas que no expongan las aplicaciones a Online.



Enlace a la noticia initial