新的黑客組織已侵入全球酒店，并可跟蹤目標用戶

VSole2021-09-26 06:13:33

自 2019 年以來，一個新發現的黑客組織正在瞄準全世界各地的酒店作為攻擊對象，此外他們還攻擊了政府、國際組織、律師事務所和工程公司等知名目標。

總部位于斯洛伐克的一家電腦安全軟件公司ESET 發現了名為FamousSparrow 的黑客組織，并將其定義為具有“高級持續性威脅”的存在。

“在過去兩年，網絡間諜主要針對歐洲（法國、立陶宛、英國）、中東（以色列、沙特阿拉伯）、美洲（巴西、加拿大、危地馬拉）、亞洲（臺灣）和非洲（布基納法索）酒店進行攻擊，另外也包括世界各國政府在內的被攻擊目標表明，FamousSparrow黑客組織的目的是展開間諜活動。”ESET 研究人員 Matthieu Faou 和 Tahseen Bin Taj 說。

該組織已在暴露在Web的應用程序中，使用多種攻擊媒介來破壞其目標網絡，包括 Microsoft SharePoint、Oracle Opera 酒店管理軟件中發現的稱為ProxyLogon的微軟Exchange安全漏洞。

在攻破受害者的網絡后，該組織部署了自定義工具，例如系統密碼破解獲取工具（Mimikatz）變體，通過轉存用戶在登錄Windows計算機或服務器時驗證身份的程序來收集內存內容，以及僅FamousSparrow黑客組織可使用的名為 SparrowDoor 的后門。

“FamousSparrow黑客組織目前是我們在調查中發現的名為 SparrowDoor 自定義后門的唯一用戶。該組織還使用了兩個自定義版本的系統密碼破解獲取工具（Mimikatz），任何這些自定義惡意工具的都與 FamousSparrow組織存在著聯系。”Bin Taj 解釋道。

2021年3月，也就是微軟修復漏洞的一天后，黑客組織就開始瞄準未針對 ProxyLogon 漏洞修補的Microsoft Exchange服務器。電腦安全軟件公司ESET 還分享了至少10個在加入3月份的微軟Exchange漏洞攻擊狂潮后，積極濫用這些漏洞信息的黑客組織。

荷蘭漏洞披露研究所(DIVD)在3月份掃描了全球大約 250,000 臺暴露于互聯網的微軟Exchange服務器后，發現 46,000 臺服務器未針對 ProxyLogon 漏洞進行修補。

ESET還發現了一些已知具有“高級長期威脅”的鏈接，包括連接惡意軟件進行變體和配置的SparklingGoblin 和 DRBControl。

然而，正如研究人員所說，FamousSparrow組織被認為是一個單獨存在的組織，它可能會利用受感染酒店的系統的訪問權限進行間諜活動，其中包括跟蹤特定的知名目標。

“在2021年3月早些時候FamousSparrow黑客組織就訪問過ProxyLogon漏洞。它擁有利用 SharePoint 和 Oracle Opera 等服務器應用程序中已知漏洞的豐富經驗。這再次提醒我們，快速修補面向互聯網的應用程序至關重要。如果無法快速修補，就不要將它們暴露在互聯網上。”ESET 研究人員總結道。