一个名为“FamousSparrow”的 *** 间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”，将全球各地的酒店、 *** 和私人企业作为目标。

ESET研究人员Matthieu Faou称ESET正在跟踪该组织，他们认为，自2019年以来FamousSparrow一直很活跃。3月3日，攻击者开始利用ProxyLogon漏洞，已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。

FamousSparrow主要针对酒店;然而，研究人员发现其他部门也有一些目标，包括 *** 、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特 *** 、中国台湾、泰国和英国。

“在恶意软件方面，该组织没有多大的发展，但在目标方面，他们在2020年做出转变，他们开始以全球酒店为目标，”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同，是因为它专注于酒店，而不仅是流行的APT目标，比如 *** 。

“我们认为他们的主要动机是间谍活动，”他补充道。酒店是APT组织的主要目标，因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施，监听未加密的 *** 通信。”

他们说，在研究人员能够确定初始危害矢量的情况下，FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞，包括3月份的ProxyLogon漏洞，以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。

服务器被攻破后，攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具，该工具将转移到另一个进程，而研究人员表示该进程可能会被用来收集内存机密。

攻击者还为他们的SparrowDoor后门放置了一个载入程序，这是他们独有的工具。

Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器，包括执行任意命令或窃取任何文件。”SparrowDoor的部署，以及服务器端漏洞的使用，是该组织的主要特点。

研究人员认为FamousSparrow是自行运作的，但也发现了与其他已知APT组织的联系，包括SparlingGoblin和DRBControl。

Faou说:“他们很可能共享工具或接近受害者，但我们认为他们是独立的威胁团体。”

研究人员说，这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁，建议企业不要将应用程序暴露在互联网上。

消息来源：Darkreading，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于 *** ；

转载请注明“转自 HackerNews.cc ” 并附上原文链接