?[[425614]]?

斯洛伐克互聯網安全公司ESET發現黑客組織FamousSparrow自2019年以來，一直將目標對準世界各地的酒店，政府、國際組織、律師事務所和工程公司等知名目標。

9月23日，據Bleeping Computer網站披露，該組織利用暴露在互聯網應用中的多種攻擊載體來入侵其目標網絡，包括微軟SharePoint中的遠程代碼執行漏洞、Oracle Opera酒店管理軟件以及被稱為ProxyLogon的微軟Exchange安全漏洞。

黑客對世界各國政府在內的目標展開攻擊，研究人員稱FamousSparrow可能從事間諜活動。

漏洞修補后，仍然存在

ESET研究人員Matthieu Faou和Tahseen Bin Taj聲稱，在過去兩年， FamousSparrow針對歐洲(法國、立陶宛、英國)、中東(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地馬拉)、亞洲(中國臺灣)和非洲(布基納法索)等地展開持續攻擊。

黑客組織在攻破受害者的網絡后，部署自定義工具。例如 Mimikatz 變體，除此之外還部署了僅供自己使用的后門(SparrowDoor)。

ESET研究人員Bin Taj稱，FamousSparrow不僅是SparrowDoor后門的唯一用戶，還使用了兩個自定義版本的 Mimikatz。這些定制的惡意工具表明，攻擊事件與FamousSparrow有聯系。

根據其他安全公司的報告，1月3日左右，漏洞已經被利用，之后微軟公司修復了漏洞。2021年3月，在微軟修復漏洞一天后，間諜組織開始瞄準未針對ProxyLogon漏洞修補的 Microsoft Exchange 服務器。

2021年3月，荷蘭漏洞披露研究所 (DIVD) 掃描了全球大約25萬臺暴露于互聯網上的Exchange 服務器后，發現4.6萬臺服務器未針對ProxyLogon漏洞進行修補。

??

鏈接到其他 APT 組

ESET還發現了一些與其他已知APT團體的鏈接，包括連接的惡意軟件變體和配置。

研究人員稱，Famousparrow被認為是一個獨立的實體，早在在2021年3月初獲得了ProxyLogon遠程代碼執行漏洞，并且有利用SharePoint和Oracle Opera等服務器應用程序中已知漏洞的歷史。很可能利用其進入被破壞的酒店系統進行間諜活動，包括跟蹤特定的高知名度目標等。

此次攻擊事件再次提醒我們，迅速給面向互聯網的應用程序打補丁是至關重要，如果不可能快速打補丁，就不把它們暴露在互聯網上。