Bezpečnostní analytici společnosti Eset odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce.
Analytici Esetu tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž, České republice se prozatím vyhýbá.
Eset na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.
Telemetrie odhalila, že skupina začala zranitelnost zneužívat 3. 3. 2021, tedy den po vydání oficiální záplaty. Podle Esetu jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.
Je důležité být připraven na odvracení útoku
„Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven,“ komentuje situaci Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
„A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti,“ vysvětluje.
V kritických situacích podle Dvořáka může být řešením i dočasné odpojení vystavené služby. „Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ upozorňuje.
Útočníci možná spojují síly
Dvořák dodává, že skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz.
Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin.
Zdroj: Eset