?[[425925]]?

自 2019 年以來，一個新發(fā)現(xiàn)的黑客組織正在瞄準(zhǔn)全世界各地的酒店作為攻擊對象，此外他們還攻擊了政府、國際組織、律師事務(wù)所和工程公司等知名目標(biāo)。

總部位于斯洛伐克的一家電腦安全軟件公司ESET 發(fā)現(xiàn)了名為FamousSparrow 的黑客組織 ，并將其定義為具有“高級持續(xù)性威脅”的存在。

“在過去兩年，網(wǎng)絡(luò)間諜主要針對歐洲(法國、立陶宛、英國)、中東(以色列、沙特阿拉伯)、美洲(巴西、加拿大、危地馬拉)、亞洲(臺灣)和非洲(布基納法索)酒店進行攻擊，另外也包括世界各國政府在內(nèi)的被攻擊目標(biāo)表明，F(xiàn)amousSparrow黑客組織的目的是展開間諜活動?！盓SET 研究人員 Matthieu Faou 和 Tahseen Bin Taj 說。

該組織已在暴露在Web的應(yīng)用程序中，使用多種攻擊媒介來破壞其目標(biāo)網(wǎng)絡(luò)，包括 Microsoft SharePoint、Oracle Opera 酒店管理軟件中發(fā)現(xiàn)的稱為ProxyLogon的微軟Exchange安全漏洞。

在攻破受害者的網(wǎng)絡(luò)后，該組織部署了自定義工具，例如系統(tǒng)密碼破解獲取工具 (Mimikatz) 變體，通過轉(zhuǎn)存用戶在登錄Windows計算機或服務(wù)器時驗證身份的程序來收集內(nèi)存內(nèi)容，以及僅FamousSparrow黑客組織可使用的名為 SparrowDoor 的后門。

“FamousSparrow黑客組織目前是我們在調(diào)查中發(fā)現(xiàn)的名為 SparrowDoor 自定義后門的唯一用戶。該組織還使用了兩個自定義版本的系統(tǒng)密碼破解獲取工具(Mimikatz)，任何這些自定義惡意工具的都與 FamousSparrow組織存在著聯(lián)系?！盉in Taj 解釋道。

2021年3月，也就是微軟修復(fù)漏洞的一天后，黑客組織就開始瞄準(zhǔn)未針對 ProxyLogon 漏洞修補的Microsoft Exchange服務(wù)器。電腦安全軟件公司ESET 還分享了至少10個在加入3月份的微軟Exchange漏洞攻擊狂潮后，積極濫用這些漏洞信息的黑客組織。

荷蘭漏洞披露研究所(DIVD)在3月份掃描了全球大約 250,000 臺暴露于互聯(lián)網(wǎng)的微軟Exchange服務(wù)器后，發(fā)現(xiàn) 46,000 臺服務(wù)器未針對 ProxyLogon 漏洞進行修補。

??

ESET還發(fā)現(xiàn)了一些已知具有“高級長期威脅”的鏈接，包括連接惡意軟件進行變體和配置的SparklingGoblin 和 DRBControl。

然而，正如研究人員所說，F(xiàn)amousSparrow組織被認為是一個單獨存在的組織，它可能會利用受感染酒店的系統(tǒng)的訪問權(quán)限進行間諜活動，其中包括跟蹤特定的知名目標(biāo)。

“在2021年3月早些時候FamousSparrow黑客組織就訪問過ProxyLogon漏洞。它擁有利用 SharePoint 和 Oracle Opera 等服務(wù)器應(yīng)用程序中已知漏洞的豐富經(jīng)驗。這再次提醒我們，快速修補面向互聯(lián)網(wǎng)的應(yīng)用程序至關(guān)重要。如果無法快速修補，就不要將它們暴露在互聯(lián)網(wǎng)上?！盓SET 研究人員總結(jié)道。