New FamousSparrow APT group used ProxyLogon exploits in its attacks
2021/09/24 SecurityAffairs — ESET の研究者たちは、FamousSparrow として追跡されている新たなサイバー・スパイ・グループを発見した。この APT (Advanced Persistent Threat) グループは、2019年頃から世界中のホテルや、法律事務所、政府、民間企業などの、より知名度の高いターゲットも攻撃している。専門家によると、このグループはサイバー・スパイ活動に重点を置いていとのことだ。
テレメトリー・データによると、この APT グループは、Microsoft Exchange ProxyLogon の脆弱性に対して、セキュリティ・パッチがリリースされた翌日の、2021年3月3日から悪用を開始していたことが明らかになった。FamousSparrow グループは、2つのカスタム・バージョン Mimikatz と、SparrowDoor と名付けられたカスタム・バックドアを攻撃に使用している。
また、FamousSparrow は、SparklingGoblin や DRBControl といった、他の APT グループとのつながりも発見されている。この APT グループは、ヨーロッパ (フランス/リトアニア/イギリス)、中東 (イスラエル/サウジアラビア) 、アメリカ (ブラジル/カナダ/グアテマラ)、アジア (台湾)、アフリカ (ブルキナファソ) などを標的にしている。
ESET は、「いくつかのケースでは、FamousSparrow が使用した、最初の侵害ベクターを発見できた。攻撃されたシステムは、インターネットに接した脆弱な Web アプリケーションを介して侵害されていた。FamousSparrow が悪用したのは、Microsoft Exchange (2021年3月の ProxyLogon を含む) および、Microsoft SharePoint、Oracle Opera (ホテル管理用ソフトウェア) における、既知のリモートコード実行の脆弱性であり、さまざまな悪意のサンプルをドロップするために使用された」と分析している。
ターゲット・ネットワークに侵入すると、Mimikatz の亜種や、Windows の LSASS プロセスからメモリ内容を採取する小型ユーティリティ、SparrowDoor バックドア・ローダーなどの、カスタム・ツールを展開している。ESET は、「FamousSparrow は 2021年3月の早い時点で、ProxyLogon のリモートコード実行の脆弱性にアクセスした APT グループである。また、SharePoint や Oracle Opera などのサーバー・アプリにおける既知の脆弱性を悪用してきた経緯もある。したがって、インターネットに接するアプリには、迅速にパッチを適用する必要がある。そして、迅速なパッチ適用が不可能な場合は、インターネットに一切公開しないことが重要である」と結論づけている。
この FamousSparrow は、静かに潜伏して大物を狙うマルウェアという感じですね。ホテルがターゲットになっているのは、重要人物の動きを追うということなのでしょうか?Oracle Opera が気になったので、手元の脆弱性データベースを検索してみましたが、それらしいものは見つかりませんでした。もう少し、範囲を広げて、過去の定例アップデートを調べようと思っています。
IoT OT Security News 