ESET-onderzoekers hebben een nieuwe cyberspionagegroep ontdekt die in Europa en over de hele wereld vooral hotels, overheden, internationale organisaties, ingenieursbureaus en advocatenkantoren aanvalt.
In Europa bespioneert de FamousSparrow APT-groep hotels, overheden en particuliere bedrijven – door ESET Research ontdekt
FamousSparrow misbruikt de sinds maart 2021 gekende Microsoft Exchange-kwetsbaarheidsketen
BRATISLAVA, MONTREAL —23 september 2021 — ESET-onderzoekers hebben een nieuwe cyberspionagegroep ontdekt die in Europa en over de hele wereld vooral hotels, overheden, internationale organisaties, ingenieursbureaus en advocatenkantoren aanvalt. ESET noemde deze groep FamousSparrow en denkt dat die al minstens sinds 2019 actief is. De FamousSparrow-slachtoffers vindt men in Frankrijk, Litouwen, Verenigd Koninkrijk, het Midden-Oosten (Israël, Saoedi-Arabië), Amerika (Brazilië, Canada, Guatemala), Azië (Taiwan) en Afrika (Burkina Faso). De gekozen doelwitten suggereren dat het doel van FamousSparrow wel degelijk cyberspionage is.
Toen de telemetriegegevens werden onderzocht, ontdekte het team dat FamousSparrow misbruik maakte van kwetsbaarheden in Microsoft Exchange, gekend als ProxyLogon en die reeds in maart van dit jaar door ESET waren gemeld. Deze kwetsbaarheidsketen voor het uitvoeren van externe code werd door meer dan 10 APT-groepen gebruikt om wereldwijd Exchange-mailservers over te nemen. Volgens ESET-telemetrie begon FamousSparrow de kwetsbaarheden reeds te misbruiken op 3 maart 2021, de dag nadat de patches waren uitgebracht. Dat betekent dat, in maart 2021, het een andere APT-groep is die toegang had tot details van de ProxyLogon-kwetsbaarheid.
“FamousSparrow is momenteel de enige gebruiker van een aangepaste backdoor die we tijdens ons onderzoek ontdekten en SparrowDoor hebben genoemd. De groep gebruikt ook twee aangepaste versies van Mimikatz. De aanwezigheid van een van deze aangepaste kwaadaardige tools kan worden gebruikt om incidenten te koppelen aan FamousSparrow”, zegt ESET-onderzoeker Tahseen Bin Taj.
Hoewel ESET Research FamousSparrow als een aparte entiteit beschouwt, heeft het banden met andere bekende APT-groepen. In één geval hebben de aanvallers een variant van Motnug ingezet, een lader die door SparklingGoblin wordt gebruikt. In een ander geval draaide een door FamousSparrow gecompromitteerde machine ook Metasploit met cdn.kkxx888666 [.] com als de commando- en controleserver, een domein gekoppeld aan een groep bekend als DRDControl.
Voor meer technische details over FamousSparrow, lees de blog “FamousSparrow: Een verdachte hotelgast” op WeLiveSecurity. Volg zeker ook ESET Research op Twitter voor het laatste nieuws over onderzoek.
Over ESET
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van eindpoint- en mobiele beveiliging tot detectie en respons van eindpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en Twitter.
Om meer te vernemen over de ESET-oplossingen, bezoek https://www.este.com/be-nl/
