新型APT组织正在攻击全球的政府实体

  • A+
所属分类:安全新闻

新型APT组织正在攻击全球的政府实体 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

ESET 公司称发现一个新型 APT 组织正在攻击全球范围内的实体,该组织被命名为 “FamousSparrow”。

该 APT 组织被指至少活跃于2019年,和针对政府、国际组织机构、工程公司、法人公司和酒店的攻击活动有关。受害者位于欧洲、英国、以色列、沙特阿拉伯、中国台湾、西非布基纳法索以及美洲地区如巴西、加拿大和危地马拉。

ESET 表示,当前的威胁数据表明,FamousSparrow 是独立于其它活跃APT组织的组织,然而它们之间看似存在多个重合之处。比如,这些威胁组织使用的利用工具通过C2服务器设立,和 DRDControl APT 有关,另外,SparklingGoblin 应用的加载器变体似乎也在使用状态。

该 APT 组织有意思的地方在于它和其它至少10个APT组织一样利用了 ProxyLogon。研究人员表示,该组织首次在3月3号利用 ProxyLogon 漏洞即微软发布紧急更新之前,这说明“还有另外一个 APT 组织在2021年3月能够访问 ProxyLogon 漏洞详情。”

该APT组织倾向于将面向互联网的应用程序作为其初始攻击向量,不仅包括微软 Exchange 服务器,还包括微软 SharePoint 和 Oracle Opera。

FamousSparrow 是唯一一个使用自定义后门 “SparrowDoor” 的已知APT组织。该后门通过加载器和DLL搜索顺序劫持部署,一旦设立,就会创建用于提取数据的攻击者C2。

另外,FamousSparrow 也创建了开源的利用后密码工具 Mimikatz 的两个自定义版本。Mimikatz 是已被广泛滥用的合法渗透测试工具包。初始感染后,Mimikatz 工具的某个版本、NetBIOS 扫描工具 Nbtscan 以及手机内存数据的工具被释放。

研究人员指出,“这提醒我们迅速修复面向互联网的应用程序至关重要,否则可导致应用程序被暴露到互联网。而攻击目标包括全球各地的政府组织这一事实表明 FamousSparrow 旨在执行间谍活动。“










推荐阅读

APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器
微软6月补丁日修复7个0day:6个已遭利用且其中1个是为 APT 服务的商用exploit
美国:APT 组织正在利用 Fortinet FortiOS 发动攻击





原文链接

https://www.zdnet.com/article/new-advanced-hacking-group-targets-governments-engineers-worldwide/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




新型APT组织正在攻击全球的政府实体
新型APT组织正在攻击全球的政府实体

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   新型APT组织正在攻击全球的政府实体 觉得不错,就点个 “在看” 或 "” 吧~



相关推荐: 这些是你见过的“最美”数据中心机房布线么

整齐划一 气势磅礴 流畅舒展 畅达华美 ... 已醉 直接上图吧 来源:数据中心运维管理 如何让开发认同运维的价值?10月22-23日,DevOps 国际峰会 2021 · 北京站,工行、农行、中行、BATJ 齐聚,大厂的 DevOps 落地秘籍,近…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: