أبحاث" تكتشف مجموعة "FamousSparrow APT" تتجسس على الفنادق والحكومات والشركات الخاصة
كشف باحثو "إسيت" عن مجموعة تجسس إلكترونية جديدة تهاجم بشكل رئيسي الفنادق في جميع أنحاء العالم، الحكومات، المنظمات الدولية، والشركات الهندسية، وشركات المحاماة. حيث قامت " إسيت" بتسمية تلك المجموعة باسم " FamousSparrow "، كما تعتقد أن تلك المجموعة نشطة منذ عام 2019 ويتمثل هدفهم الرئيسي في التجسس الإلكتروني، وتقوم بمهاجمة الضحايا المتواجدين في المناطق الآتية: أوروبا (فرنسا – ليتوانيا والمملكة المتحدة)، الشرق الأوسط (إسرائيل والمملكة العربية السعودية)، الأمريكتان (البرازيل – كندا وجواتيمالا)، آسيا (تايوان) وأفريقيا (بوركينا فاسو).
وبمراجعة بيانات القياس عن بُعد أثناء التحقيق، اكتشفت " إسيت" أن " FamousSparrow " استفادت من الثغرات الأمنية ونقاط الضعف في " Microsoft Exchange " والمعروفة باسم " ProxyLogon" التي أبلغت عنها " إسيت" في مارس 2021. حيث قامت باستخدام مجموعة تلك الثغرات الأمنية لتنفيذ التعليمات البرمجية عن بُعد من قبل أكثر من 10 مجموعات " APT " للاستيلاء على خوادم البريد الإلكتروني " Microsoft Exchange " في جميع أنحاء العالم.
ووفقًا لقياس " إسيت " عن بُعد أتضح أن " FamousSparrow " بدأت في استغلال الثغرات الأمنية في 3 مارس 2021 في اليوم التالي لإصدار التصحيح، مما يعني أن مجموعة " APT " هى الأخرى لديها إمكانية الوصول إلى تفاصيل سلسلة نقاط الضعف ProxyLogon” " في مارس 2021. حيث ينصح " ماثيو فو " الباحث في "إسيت" والذي اكتشف مجموعة " FamousSparrow " مع زميله "تحسين بن تاج": (هذا هو تذكير آخر بإن من المهم تصحيح وتحديث التطبيقات التي تواجه الإنترنت بأسرع وقت ممكن، وإذا لم يتم تصحيحها بشكل سريع فلا يتم تعريضها للإنترنت على الإطلاق).
ويقول " تحسين بن تاج " الباحث في "إسيت": ( أن " FamousSparrow " هو المستخدم الوحيد حاليًا للباب الخلفي المخصص الذي تم الكشف عنه من خلال التحقيق والذي أطلقنا عليه اسم " SparrowDoor "، وتستخدم المجموعة أيضًا نسختين مخصصتين من " Mimikatz "، وأن وجود أي من هذه الأدوات الخبيثة المخصصة يمكن استخدامه لربط الحوادث بمجموعة
" FamousSparrow " ).
وعلى الرغم من أن " إسيت للأبحاث" تعتبر " FamousSparrow " كيان منفصل، إلا أنها توجد علاقة تتعلق بينها وبين مجموعات تُعرف باسم" APT ". في إحدى الحالات، نشر المهاجمون نوعًا مختلفًا من " Motnug"، وهو محمل يستخدمه
" SparklingGoblin ". وفي حالة أخرى، كان الجهار الذي تم اختراقه بواسطة " FamousSparrow " يشغل أيضًا " Metasploit " مع " cdn.llxx888666[.]com " كخادم القيادة التحكم، وهو رابط متعلق بمجموعة تعرف باسم " DRDControl" .
