جاسوسی گروه جدید هکر APT با نام FamousSparrow از سازمانها و دولتها
اخبار داغ فناوری اطلاعات و امنیت شبکه
تهدید پیوسته جدید (APT) در پشت مجموعه حملات علیه هتلهای سراسر جهان، دولتها، سازمانهای بینالمللی، شرکتهای مهندسی و شرکتهای حقوقی بوده است.
شرکت اسلواکی امنیت سایبری ESET با از این گروه با اسم رمز گروه جاسوسی سایبری FamousSparrow نام برده است و گفته میشود که حداقل از ماه آگوست سال ۲۰۱۹ فعال بوده و قربانیان آن در سراسر آفریقا، آسیا، اروپا، خاورمیانه و آمریکا هدف قرار گرفتهاند و چندین کشور مانند بورکینافاسو، تایوان، فرانسه، لیتوانی، انگلستان، اسرائیل، عربستان سعودی، برزیل، کانادا و گواتمالا را در بر میگیرد.
حملاتی که توسط این گروه انجام شدهاند شامل سواستفاده از آسیبپذیریهای شناخته شده در برنامههای سرور مانند SharePoint و Oracle Opera هستند و اینها علاوه بر آسیبپذیری اجرای کد از راه دور ProxyLogon در Microsoft Exchange Server است که در مارس سال ۲۰۲۱ مشخص شد، و آن را به آخرین عامل تهدیدی بدل کرد که قبل از افشای عمومی جزئیات نقص، به آن دسترسی داشته و از آن سواستفاده کرده است.
به گفته ESET، نفوذ و سواستفاده از این نقصها در ۳ ماه مارس آغاز شد و منجر به استقرار چندین عامل طراحی شده مخرب، از جمله دو نسخه سفارشی سرقتکننده اعتبارنامه Mimikatz، یک اسکنر NetBIOS به نام Nbtscan و یک لودر برای استقرار سفارشی با نام SparrowDoor شد.
لودر SparrowDoor که با استفاده و بهرهگیری از تکنیکی به نام سرقت دستور جستجوی DLL نصب شده است و به عنوان ابزاری برای نفوذ به کرنرهای جدید شبکه داخلی هدف عمل میکند که هکرها همچنین به امکان اجرای دستورات دلخواه و همینطور جمعآوری و استخراج اطلاعات حساس به دستورات از سرور از راه دور command-and-control یا C۲ تحت کنترلشان، دسترسی پیدا میکنند.
جلوگیری از حملات باجافزار
در حالی که ESET گروه FamousSparrow را به یک کشور خاص نسبت نداده است، اما شباهتهایی بین تکنیکهای آن گروه و تکنیکهای SparklingGoblin، شاخهای از گروه Winnti مرتبط با چین و DRBControl که با بدافزارهایی که قبلاً با کمپین Winnti و Emissary Panda شناسایی شده بودند، مشاهده گردیده است.
تحسین بن تاج و ماتیو فائو، محققان ESET میگویند: "این مسأله یادآور این نکته است و به ما گوشزد میکند ک بسیار ضروری است تا برنامههای مرتبط به اینترنت به سرعت پچ شوند، یا اگر ارائه سریع پچ امکانپذیر نیست، آنها به شکل کامل در معرض اینترنت قرار نگیرند″.
برچسب ها: SparklingGoblin, Emissary Panda, Winnti, SparrowDoor, Mimikatz, NetBIOS, FamousSparrow, ESET, Microsoft Exchange Server, Oracle Opera, SharePoint, باجافزار, ProxyLogon, DLL, APT, cybersecurity, آسیبپذیری, ransomware , بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری