جاسوسی گروه جدید هکر APT با نام FamousSparrow از سازمان‌ها و دولت‌ها

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir a new apt hacker group spying on hotels governments worldwide 1
تهدید پیوسته جدید (APT) در پشت مجموعه حملات علیه هتل‌های سراسر جهان، دولت‌ها، سازمان‌های بین‌المللی، شرکت‌های مهندسی و شرکت‌های حقوقی بوده است.

شرکت اسلواکی امنیت سایبری ESET با از این گروه با اسم رمز گروه جاسوسی سایبری FamousSparrow نام برده است و گفته می‌شود که حداقل از ماه آگوست سال ۲۰۱۹ فعال بوده و قربانیان آن در سراسر آفریقا، آسیا، اروپا، خاورمیانه و آمریکا هدف قرار گرفته‌اند و چندین کشور مانند بورکینافاسو، تایوان، فرانسه، لیتوانی، انگلستان، اسرائیل، عربستان سعودی، برزیل، کانادا و گواتمالا را در بر می‌گیرد.

حملاتی که توسط این گروه انجام شده‌اند شامل سواستفاده از آسیب‌پذیری‌های شناخته شده در برنامه‌های سرور مانند SharePoint و Oracle Opera هستند و این‌ها علاوه بر آسیب‌پذیری اجرای کد از راه دور ProxyLogon در Microsoft Exchange Server است که در مارس سال ۲۰۲۱ مشخص شد، و آن را به آخرین عامل تهدیدی بدل کرد که قبل از افشای عمومی جزئیات نقص، به آن دسترسی داشته و از آن سواستفاده کرده است.
takian.ir a new apt hacker group spying on hotels governments worldwide 2
به گفته ESET، نفوذ و سواستفاده از این نقص‌ها در ۳ ماه مارس آغاز شد و منجر به استقرار چندین عامل طراحی شده مخرب، از جمله دو نسخه سفارشی سرقت‌کننده اعتبارنامه Mimikatz، یک اسکنر NetBIOS به نام Nbtscan و یک لودر برای استقرار سفارشی با نام SparrowDoor شد.

لودر SparrowDoor که با استفاده و بهره‌گیری از تکنیکی به نام سرقت دستور جستجوی DLL نصب شده است و به عنوان ابزاری برای نفوذ به کرنر‌های جدید شبکه داخلی هدف عمل می‌کند که هکر‌ها همچنین به امکان اجرای دستورات دلخواه و همینطور جمع‌آوری و استخراج اطلاعات حساس به دستورات از سرور از راه دور command-and-control یا C۲ تحت کنترلشان، دسترسی پیدا می‌کنند.

جلوگیری از حملات باج‌افزار
در حالی که ESET گروه FamousSparrow را به یک کشور خاص نسبت نداده است، اما شباهت‌هایی بین تکنیک‌های آن گروه و تکنیک‌های SparklingGoblin، شاخه‌ای از گروه Winnti مرتبط با چین و DRBControl که با بدافزار‌هایی که قبلاً با کمپین Winnti و Emissary Panda شناسایی شده بودند، مشاهده گردیده است.

تحسین بن تاج و ماتیو فائو، محققان ESET می‌گویند: "این مسأله یادآور این نکته است و به ما گوشزد می‌کند ک بسیار ضروری است تا برنامه‌های مرتبط به اینترنت به سرعت پچ شوند، یا اگر ارائه سریع پچ امکان‌پذیر نیست، آن‌ها به شکل کامل در معرض اینترنت قرار نگیرند″.

برچسب ها: SparklingGoblin, Emissary Panda, Winnti, SparrowDoor, Mimikatz, NetBIOS, FamousSparrow, ESET, Microsoft Exchange Server, Oracle Opera, SharePoint, باج‌افزار, ProxyLogon, DLL, APT, cybersecurity, آسیب‌پذیری, ransomware , بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ