ESET odhalil skupinu FamousSparrow, která sleduje vlády, soukromé společnosti a hotely

Skupina FamousSparrow využívá zranitelnost v Microsoft Exchange, která je známá již od března 2021.

Praha, 5. října 2021 – Bezpečnostní analytici společnosti ESET odhalili novou skupinu útočníků, která se po celém světě zaměřuje na vládní a mezinárodní instituce, technologické společnosti, právnické firmy a ve velké míře také na hotelové řetězce. Analytici společnosti ESET tuto skupinu označují jako FamousSparrow a domnívají se, že je aktivní již od roku 2019. Podle cílů jejích útoků se jedná s velkou pravděpodobností o kyberšpionáž. Česku se prozatím vyhýbá.

ESET na základě telemetrických dat a z vyšetřování bezpečnostních incidentů zjistil, že útočníci ze skupiny FamousSparrow využívají zranitelnost systému Microsoft Exchange, která je známá pod označením ProxyLogon. Tato zranitelnost se týkala i množství serverů v České republice.

Zranitelné Exchange servery se staly cílem více než 10 APT skupin po celém světě, konkrétně v Evropě (Francie, Lotyšsko a Velká Británie), na Blízkém východě (Izrael a Saudská Arábie), na americkém kontinentu (Brazílie, Kanada a Guatemala), v Asii (Taiwan) a v Africe (Burkina Faso). APT neboli „Advanced Persistent Threat” je označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže. V České republice se tyto aktivity podle zjištění společnosti ESET prozatím nepotvrdily.

Podle telemetrie společnosti ESET začala skupina FamousSparrow zneužívat zranitelnost 3. března 2021, tedy den po vydání oficiální záplaty. Jde tedy o další APT skupinu, která měla v březnu 2021 přístup ke zranitelnosti ProxyLogon pro vzdálené spuštění kódu.

„Objev zranitelností v Exchange serveru byl další případ, který nám ukazuje, jak je kriticky důležité být na podobnou situaci připraven. A připraven zde znamená mít zavedené postupy a nástroje, které vám umožní rychle a adekvátně zareagovat. Řešením může být okamžité nasazení bezpečnostní opravy nebo i jiného alternativního řešení, které zamezí zneužití zranitelnosti. V kritických situacích může být řešením i dočasné odpojení vystavené služby. Vždy ale záleží na konkrétních podmínkách a posouzení možných dopadů versus přínosů,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. 

„Skupina FamousSparrow je v tuto chvíli jediná, která využívá svůj vlastní škodlivý kód, který byl objeven během vyšetřování incidentů a pojmenován jako SparrowDoor. Skupina využívá také dvě vlastní verze nástroje Mimikatz,“ dodává Dvořák.

Ačkoli bezpečnostní analytici považují FamousSparrow za samostatnou skupinu útočníků, existují i určité důkazy o jejím možném propojení s jinými známými skupinami. V jednom případě útočníci nasadili na napadené zařízení Motnug loader, který je spojován se skupinou SparklingGoblin. V dalším případě byl na zařízení kompromitovaném skupinou FamousSparrow nalezen běžící nástroj Metasploit využívající jako řídící a kontrolní centrum server cdn.kkxx888666[.]com. Tato doména je přitom spojována s další útočnou skupinou DRDControl.

Cíle skupiny FamousSparrow zobrazené na mapě

Více informací

Aktivity skupiny FamousSparrow jsme podrobněji popsali v našem odborném magazínu WeLiveSecurity.com

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. 

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Označeno tagem