FamousSparrow a exploité la chaîne de vulnérabilité Microsoft Exchange connue depuis mars 2021
BRATISLAVA, MONTREAL — Le 23 septembre 2021 — Les chercheurs d'ESET ont découvert un nouveau groupe de cyber-espionnage attaquant principalement des hôtels du monde entier, mais aussi des gouvernements, des organisations internationales, des sociétés d'ingénierie et des cabinets d'avocats. ESET a nommé ce groupe FamousSparrow et pense qu'il est actif depuis au moins 2019. On trouve les victimes de FamousSparrow en Europe (France, Lituanie, Royaume-Uni), au Moyen-Orient (Israël, Arabie Saoudite), en Amérique (Brésil, Canada, Guatemala), en Asie (Taïwan) et en Afrique (Burkina Faso). Le ciblage suggère que le but de FamousSparrow est le cyber-espionnage.
En examinant, au cours de son enquête, les données de télémétrie, les chercheurs ont découvert que FamousSparrow exploitait les vulnérabilités de Microsoft Exchange connues sous le nom de ProxyLogon déjà signalées par ESET en mars de cette année. Cette chaîne de vulnérabilité d'exécution de code à distance a été utilisée par plus de 10 groupes APT afin de prendre le contrôle des serveurs de messagerie Exchange dans le monde entier. Toujours selon la télémétrie ESET, FamousSparrow a commencé à exploiter les vulnérabilités le 3 mars 2021, le jour saprès la publication des correctifs, ce qui signifie qu'il s'agit d'un autre groupe APT qui a eu accès aux détails de la chaîne de vulnérabilité ProxyLogon en mars 2021.
« Ceci doit être considéré comme rappel qu'il est essentiel de patcher rapidement les applis Internet. Si un patch rapide n'est pas possible, il ne faut absolument pas exposer les applis à Internet », conseille Matthieu Faou, le chercheur d'ESET qui, avec son collègue Tahseen Ben Taj, a découvert FamousSparrow.
"FamousSparrow est actuellement le seul à utiliser une porte dérobée personnalisée découverte au cours de notre enquête et appelée SparrowDoor. Le groupe utilise également deux versions personnalisées de Mimikatz. La présence d’un de ces outils malveillants personnalisés pourrait être utilisée pour connecter des incidents à FamousSparrow », explique le chercheur d'ESET, Tahseen Bin Taj.
Bien qu'ESET Research considère FamousSparrow comme une entité distincte, il a des liens avec d'autres groupes APT connus. Dans un cas, les attaquants ont déployé une variante de Motnug, un chargeur utilisé par SparklingGoblin. Dans un autre cas, une machine compromise par FamousSparrow exécutait également Metasploit avec cdn.kkxx888666[.]com en tant que serveur de commande et de contrôle, un domaine lié à un groupe connu sous le nom de DRDControl.
Pour plus de détails techniques sur FamousSparrow, lisez le blog «FamousSparrow : A suspect hotel guest» sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les toutes dernières nouvelles sur la recherche.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com ou suivez nous sur LinkedIn, Facebook, et Twitter.