ESET

FamousSparrow misbruikt de sinds maart 2021 gekende Microsoft Exchange-kwetsbaarheidsketen

Advertentie

ESET-onderzoekers hebben een nieuwe cyberspionagegroep ontdekt die in Europa en over de hele wereld vooral hotels, overheden, internationale organisaties, ingenieursbureaus en advocatenkantoren aanvalt. ESET noemde deze groep FamousSparrow en denkt dat die al minstens sinds 2019 actief is. De FamousSparrow-slachtoffers vindt men in Frankrijk, Litouwen, Verenigd Koninkrijk, het Midden-Oosten (Israël, Saoedi-Arabië), Amerika (Brazilië, Canada, Guatemala), Azië (Taiwan) en Afrika (Burkina Faso). De gekozen doelwitten suggereren dat het doel van FamousSparrow wel degelijk cyberspionage is.

Toen de telemetriegegevens werden onderzocht, ontdekte het team dat FamousSparrow misbruik maakte van kwetsbaarheden in Microsoft Exchange, gekend als ProxyLogon en die reeds in maart van dit jaar door ESET waren gemeld. Deze kwetsbaarheidsketen voor het uitvoeren van externe code werd door meer dan 10 APT-groepen gebruikt om wereldwijd Exchange-mailservers over te nemen. Volgens ESET-telemetrie begon FamousSparrow de kwetsbaarheden reeds te misbruiken op 3 maart 2021, de dag nadat de patches waren uitgebracht. Dat betekent dat, in maart 2021, het een andere APT-groep is die toegang had tot details van de ProxyLogon-kwetsbaarheid.

“FamousSparrow is momenteel de enige gebruiker van een aangepaste backdoor die we tijdens ons onderzoek ontdekten en SparrowDoor hebben genoemd. De groep gebruikt ook twee aangepaste versies van Mimikatz. De aanwezigheid van een van deze aangepaste kwaadaardige tools kan worden gebruikt om incidenten te koppelen aan FamousSparrow”, zegt ESET-onderzoeker Tahseen Bin Taj.

Hoewel ESET Research FamousSparrow als een aparte entiteit beschouwt, heeft het banden met andere bekende APT-groepen. In één geval hebben de aanvallers een variant van Motnug ingezet, een lader die door SparklingGoblin wordt gebruikt. In een ander geval draaide een door FamousSparrow gecompromitteerde machine ook Metasploit met cdn.kkxx888666 [.] com als de commando- en controleserver, een domein gekoppeld aan een groep bekend als DRDControl. Voor meer technische details over FamousSparrow, lees de blog “FamousSparrow: Een verdachte hotelgast” op WeLiveSecurity. Volg zeker ook ESET Research op Twitter voor het laatste nieuws over onderzoek.

Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.


LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here