新的黑客组织已侵入全球酒店，并可跟踪目标用户

      自 2019 年以来，一个新发现的黑客组织正在瞄准全世界各地的酒店作为攻击对象，此外他们还攻击了政府、国际组织、律师事务所和工程公司等知名目标。

      总部位于斯洛伐克的一家电脑安全软件公司ESET 发现了名为FamousSparrow 的黑客组织 ，并将其定义为具有“高级持续性威胁”的存在。

      “在过去两年，网络间谍主要针对欧洲（法国、立陶宛、英国）、中东（以色列、沙特阿拉伯）、美洲（巴西、加拿大、危地马拉）、亚洲（台湾）和非洲（布基纳法索）酒店进行攻击，另外也包括世界各国政府在内的被攻击目标表明，FamousSparrow黑客组织的目的是展开间谍活动。”ESET 研究人员 Matthieu Faou 和 Tahseen Bin Taj 说。

      该组织已在暴露在Web的应用程序中，使用多种攻击媒介来破坏其目标网络，包括 Microsoft SharePoint、Oracle Opera 酒店管理软件中发现的称为ProxyLogon的微软Exchange安全漏洞。

      在攻破受害者的网络后，该组织部署了自定义工具，例如系统密码破解获取工具 （Mimikatz） 变体，通过转存用户在登录Windows计算机或服务器时验证身份的程序来收集内存内容，以及仅FamousSparrow黑客组织可使用的名为 SparrowDoor 的后门。

     “FamousSparrow黑客组织目前是我们在调查中发现的名为 SparrowDoor 自定义后门的唯一用户。该组织还使用了两个自定义版本的系统密码破解获取工具（Mimikatz），任何这些自定义恶意工具的都与 FamousSparrow组织存在着联系。”Bin Taj 解释道。

       2021年3月，也就是微软修复漏洞的一天后，黑客组织就开始瞄准未针对 ProxyLogon 漏洞修补的Microsoft Exchange服务器。电脑安全软件公司ESET 还分享了至少10个在加入3月份的微软Exchange漏洞攻击狂潮后，积极滥用这些漏洞信息的黑客组织。

      荷兰漏洞披露研究所(DIVD)在3月份扫描了全球大约 250,000 台暴露于互联网的微软Exchange服务器后，发现 46,000 台服务器未针对 ProxyLogon 漏洞进行修补。

      ESET还发现了一些已知具有“高级长期威胁”的链接，包括连接恶意软件进行变体和配置的SparklingGoblin 和 DRBControl。

    然而，正如研究人员所说，FamousSparrow组织被认为是一个单独存在的组织，它可能会利用受感染酒店的系统的访问权限进行间谍活动，其中包括跟踪特定的知名目标。

   “在2021年3月早些时候FamousSparrow黑客组织就访问过ProxyLogon漏洞。它拥有利用 SharePoint 和 Oracle Opera 等服务器应用程序中已知漏洞的丰富经验。这再次提醒我们，快速修补面向互联网的应用程序至关重要。如果无法快速修补，就不要将它们暴露在互联网上。”ESET 研究人员总结道。

注：本文由E安全编译报道。

E安全沟通交流社群

欢迎加入

合作、入群请加微信！