Eset odhalil skupinu FamousSparrow, jež využívá zranitelnost v Microsoft Exchange

Hackerská skupina FamousSparrow podle analytiků sleduje vlády, soukromé společnosti a hotely. Využívá k tomu zranitelnost v Microsoft Exchange, která je známá od března 2021.

Eset odhalil skupinu FamousSparrow, jež využívá zranitelnost v Microsoft Exchange



Bezpečnostní analytici společnosti Eset odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce.

Analytici Esetu tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž, České republice se prozatím vyhýbá.

Eset na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Telemetrie odhalila, že skupina začala zranitelnost zneužívat 3. 3. 2021, tedy den po vydání oficiální záplaty. Podle Esetu jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

Je důležité být připraven na odvracení útoku

Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven,“ komentuje situaci Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti,“ vysvětluje.

V kritických situacích podle Dvořáka může být řešením i dočasné odpojení vystavené služby. „Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ upozorňuje.

Útočníci možná spojují síly

Dvořák dodává, že skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz.

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin.

Zdroj: Eset








Úvodní foto: (c) Gorodenkoff - Fotolia.com

Komentáře