FamousSparrow APT Wings por espiar hoteles y gobiernos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

FamousSparrow APT Wings por espiar hoteles y gobiernos

Hola, ¿qué tal colega?. Te escribe Eduardo Arroyo y hoy hablaremos sobre FamousSparrow APT Wings por espiar hoteles y gobiernos

FamousSparrow APT Wings por espiar hoteles y gobiernos

Una puerta trasera personalizada «SparrowDoor» permitió a los atacantes recopilar datos de objetivos en todo el mundo.

Un grupo de ciberespionaje apodado «FamousSparrow» por los investigadores tomó los cielos, apuntando a hoteles, gobiernos y organizaciones privadas de todo el mundo con una puerta trasera personalizada, acertadamente llamada «SparrowDoor». Es una de las amenazas persistentes avanzadas (APT) que se dirigió a las vulnerabilidades de ProxyLogon a principios de este año, según ESET, aunque su actividad solo ha salido a la luz recientemente.

Según la empresa, las acciones maliciosas de la puerta trasera incluyen la capacidad de: cambiar el nombre o eliminar archivos; crear directorios; cerrar procesos; enviar información como atributos de archivo, tamaño de archivo y tiempo de escritura del archivo; extraer el contenido de un archivo especificado; escribir datos en un archivo específico; o establecer un shell inverso interactivo. También hay un interruptor de interrupción para eliminar la configuración de persistencia y todos los archivos SparrowDoor de las máquinas víctimas.

«La focalización, que incluye a gobiernos de todo el mundo, sugiere que la intención de FamousSparrow es espiar», anotaron los investigadores.

El error de ejecución remota de código de ProxyLogon (RCE) fue revelado en marzo y fue utilizado por más de 10 grupos APT para establecer el acceso de shellcode a los servidores de correo de Exchange en todo el mundo en una serie de ataques. Según la telemetría de ESET, FamousSparrow comenzó a explotar las vulnerabilidades el día después de que Microsoft lanzó un parche para el problema.

En el caso de FamousSparrow, utilizó el error para distribuir SparrowDoor, que se ha visto en otros ataques (muchos de ellos contra hoteles), según ESET. Estas campañas adicionales ocurrieron antes y después de ProxyLogon y se remontan a agosto de 2019, anotaron los investigadores.

Cuando pudieron determinar el vector inicial de compromiso, los investigadores encontraron que el modus operandi de FamousSparrow parece ser la explotación de aplicaciones web vulnerables que se enfrentan a Internet.

«Creemos que FamousSparrow aprovechó las vulnerabilidades conocidas de ejecución remota de código en Microsoft Exchange (incluido ProxyLogon en marzo de 2021), Microsoft SharePoint y Oracle Opera (software de gestión de hoteles empresariales), que se utilizaron para eliminar varias muestras maliciosas», según los investigadores de ESET.

Agregaron: «Este es otro recordatorio de que es imperativo que arregle rápidamente las aplicaciones que se enfrentan a Internet o, si no es posible un parche rápido, no las exponga a Internet en absoluto».

Una vez que un objetivo se ve comprometido, FamousSparrow infecta a la víctima con un conjunto de herramientas personalizadas, según Análisis de ESET, lanzado el jueves. Éstos incluyen:

  • Una variante de Mimikatz para el movimiento lateral.
  • Una pequeña utilidad que libera ProcDump en el disco y lo usa para descargar el proceso lsass, posiblemente para recopilar secretos en la memoria, como credenciales.
  • Nbtscan, un escáner NetBIOS para identificar archivos e impresoras en una LAN
  • Un cargador de puerta trasera SparrowDoor

El cargador instala SparrowDoor a través de Secuestro de orden de búsqueda de DLL, anotaron los investigadores.

«El ejecutable legítimo, Indexer.exe, requiere la biblioteca K7UI.dll para funcionar», explicaron. “Por lo tanto, el sistema operativo busca el archivo DLL en los directorios en el orden de carga prescrito. Dado que el directorio donde se almacena el archivo Indexer.exe tiene la prioridad más alta en el orden de carga, está expuesto al secuestro del orden de búsqueda de DLL. Y así es exactamente como se carga el malware «.

Los goles están repartidos por todo el mundo. Fuente: ESET.

La persistencia se establece a través de la clave Ejecutar del registro y un servicio que se crea y se inicia utilizando datos de configuración encriptados XOR con codificación binaria, basados ​​en escritura. Luego, el malware establece conexiones TLS encriptadas a un servidor de comando y control (C2) en el puerto 433, que puede ser o no un proxy.

Luego, el malware logra la escalada de privilegios ajustando el token de acceso al proceso SparrowDoor para habilitar SeDebugPrivilege, que es una utilidad legítima de Windows que se usa para depurar procesos en computadoras distintas a la suya. Un atacante con SeDebugPrivilege puede «depurar procesos propiedad de System, momento en el que puede inyectar código en el proceso y ejecutar el equivalente lógico de cualquiera / agregar administradores de grupo de red local, elevándose así (o cualquier otra persona) a administrador», según a Escritura de Microsoft.

A continuación, SparrowDoor olfatea y envía la dirección IP local de la víctima, un ID de sesión de Servicios de Escritorio Remoto asociado con el proceso de puerta trasera, el nombre de usuario y el nombre de la computadora al C2 y espera los comandos a cambio para iniciar su campaña de espionaje.

FamousSparrow apunta principalmente a hoteles, pero ESET ha visto objetivos en otras industrias, incluidos gobiernos, organizaciones internacionales, firmas de ingeniería y bufetes de abogados. El grupo realmente salió de su caparazón, por así decirlo: los ataques se extendieron por todo el mundo, dirigidos a objetivos en Brasil, Burkina Faso, Canadá, Israel, Francia, Guatemala, Lituania, Arabia Saudita, Sudáfrica, Taiwán, Tailandia. y el Reino Unido, según la empresa.

Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! y únete al. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

Puedes compartir en tu Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte