Hlavní navigace

Eset odhalil skupinu FamousSparrow, jež využívá zranitelnost v Microsoft Exchange

6. 10. 2021
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
Hackerská skupina FamousSparrow podle analytiků sleduje vlády, soukromé společnosti a hotely. Využívá k tomu zranitelnost v Microsoft Exchange, která je známá od března 2021.

Bezpečnostní analytici společnosti Eset odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce.

Analytici Esetu tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž, České republice se prozatím vyhýbá.

Eset na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Telemetrie odhalila, že skupina začala zranitelnost zneužívat 3. 3. 2021, tedy den po vydání oficiální záplaty. Podle Esetu jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

Je důležité být připraven na odvracení útoku

Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven,“ komentuje situaci Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti,“ vysvětluje.

V kritických situacích podle Dvořáka může být řešením i dočasné odpojení vystavené služby. „Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ upozorňuje.

Útočníci možná spojují síly

Dvořák dodává, že skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz.

ICTS24

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin.

Zdroj: Eset

Čtěte dále

Jak se proaktivně bránit moderním hrozbám? Ukáže Cyber Security 2024
Jak se proaktivně bránit moderním hrozbám? Ukáže Cyber Security 2024
IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
IDC: Trh zařízení pro chytrou domácnost ožívá, ale velmi pomalu
PoE extender od Zyxel Networks pomáhá překonat problémy s nasazením sítí na velké vzdálenosti
PoE extender od Zyxel Networks pomáhá překonat problémy s nasazením sítí na velké vzdálenosti
ČMIS: IT sektor je na NIS2 připraven, řada firem nikoli
ČMIS: IT sektor je na NIS2 připraven, řada firem nikoli
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu
Arrow Electronics jako první získal cloudový kompetenční certifikát od Broadcomu
Jaké příležitosti přinesly značkám mobilní aplikace a nové technologie?
Jaké příležitosti přinesly značkám mobilní aplikace a nové technologie?