ESET-onderzoekers hebben een nieuwe cyberspionage-groep ontdekt die zich richt op hotels wereldwijd, maar ook op overheden, internationale private organisaties, ingenieursbedrijven en advocatenkantoren. De spionagegroep, die door ESET FamousSparrow is genoemd, is volgens de ESET-telemetrie actief sinds ten minste 2019 en heeft organisaties getroffen in elk continent. In Europa gaat het om organisaties uit Frankrijk, Litouwen en het Verenigd Koninkrijk. De doelwitten suggereren dat de aanvallen cyberspionage als doel hadden.
Tijdens het analyseren van de ESET-telemetrie ontdekte het onderzoeksteam dat FamousSparrow misbruik maakte van de Microsoft Exchange-kwetsbaarheden bekend als ProxyLogon. Deze remote code execution-kwetsbaarheidsketen werd door meer dan 10 APT-groepen gebruikt om Exchange emailservers wereldwijd over te nemen. FamousSparrow is daarmee de zoveelste Advanced Persistent Threat (APT)-groep die misbruik maakt van de kwetsbaarheden die gevonden werden in maart 2021. De ESET-telemetrie liet verder zien dat FamousSparrow al vanaf 3 maart 2021, de dag na de release van de patches door Microsoft, de kwetsbaarheid exploiteert.
“De ontdekking van FamousSparrow en hun activiteiten herinnert ons aan het cruciale belang van tijdig patchen van internet-gerichte applicaties. En dat, wanneer tijdig patchen niet mogelijk is, het verstandig is om ervoor te kiezen deze applicaties niet open te stellen richting het internet,” aldus ESET-onderzoeker Matthieu Faou die FamousSparrow samen met Tahseen Bin Taj ontdekte."FamousSparrow is momenteel de enige gebruiker van een aangepaste backdoor die we tijdens het onderzoek ontdekten en die SparrowDoor wordt genoemd. De groep gebruikt ook twee aangepaste versies van Mimikatz. De aanwezigheid van deze aangepaste kwaadaardige tools kan mogelijk worden gebruikt om FamousSparrow te identificeren bij incidenten," legt ESET-onderzoeker Tahseen Bin Taj uit.
Hoewel de ESET-onderzoekers FamousSparrow als een afzonderlijke entiteit beschouwen, zijn er enkele verbanden met andere bekende APT-groepen. In één geval hebben de aanvallers een variant van Motnug ingezet, een loader die wordt gebruikt door SparklingGoblin. In een ander geval draaide een door FamousSparrow gecompromitteerde machine ook Metasploit met cdn.kkxx888666[.]com als commando- en controleserver, een domein dat gerelateerd is aan een groep die bekend staat als DRDControl.
Meer technische details over FamousSparrow zijn te vinden in de blogpost "FamousSparrow: A suspicious hotel guest” op WeLiveSecurity.