Reklam
Security

Hacking grubu, dünya çapındaki otelleri ihlal etmek için ProxyLogon istismarlarını kullandı

Hacking grubu, dünya çapındaki otelleri ihlal etmek için ProxyLogon istismarlarını kullandı

Resim: sansar björk

Yeni keşfedilen bir siber casusluk grubu, en az 2019’dan beri dünya çapındaki otelleri ve hükümetler, uluslararası kuruluşlar, hukuk firmaları ve mühendislik şirketleri gibi daha yüksek profilli hedefleri hedef alıyor.

Slovak internet güvenlik şirketi ESET, bilgisayar korsanlığı grubunu tespit etti ÜnlüSparrow) ve bunu “gelişmiş kalıcı tehdit” olarak nitelendirdi.

Siber casuslar Avrupa’nın her yerinden (Fransa, Litvanya, Birleşik Krallık), Orta Doğu’dan (İsrail, Suudi Arabistan), Amerika’dan (Brezilya, Kanada, Guatemala), Asya’dan (Tayvan) ve Afrika’dan (Burkina Faso) kurbanları hedef aldı. Son iki yıla yayılan saldırılar.

ESET araştırmacıları Matthieu Faou ve Tahseen Bin Taj, “Dünya çapındaki hükümetleri içeren hedefleme, FamousSparrow’un amacının casusluk olduğunu gösteriyor.” Dedi.

ÜnlüSparrow hedeflerinin coğrafi dağılımı
Resim: ESET

Yamadan bir gün sonra kullanılan ProxyLogon istismarları

Grup, Microsoft SharePoint’teki uzaktan kod yürütme güvenlik açıkları, Oracle Opera otel yönetim yazılımı ve Microsoft Exchange olarak bilinen Microsoft Exchange güvenlik açıkları dahil olmak üzere, hedeflerinin ağlarını ihlal etmek için İnternet’e açık web uygulamalarında birden çok saldırı vektörü kullandı. ProxyOturum açma.

Grup, kurbanlarının ağlarını ihlal ettikten sonra, Windows LSASS sürecini boşaltarak bellek içeriklerini (kimlik bilgileri gibi) toplamak için tasarlanmış küçük bir araç olan Mimikatz varyantı ve yalnızca ÜnlüSparrow tarafından kullanılan SparrowDoor olarak bilinen bir arka kapı gibi özel araçlar dağıttı.

Bin Taj, “FamousSparrow şu anda soruşturmada keşfettiğimiz ve SparrowDoor adını verdiğimiz özel bir arka kapının tek kullanıcısı. Grup ayrıca Mimikatz’ın iki özel sürümünü kullanıyor.”

“Bu özel kötü amaçlı araçlardan herhangi birinin varlığı, olayları ÜnlüSparrow’a bağlamak için kullanılabilir.”

Casusluk grubu, Microsoft’un hataları düzeltmesinden bir gün sonra Mart 2021’de ProxyLogon güvenlik açıklarına karşı yama uygulanmamış Microsoft Exchange sunucularını da hedeflemeye başladı.

ESET ayrıca şu bilgileri de paylaştı: en az on hack grubu Mart Microsoft Exchange saldırı çılgınlığına katıldıktan sonra bu hataları aktif olarak kötüye kullanıyor.

Diğer güvenlik şirketlerinden gelen raporlara göre, vahşi istismar 3 Ocak’ta, hataların Microsoft’a bildirilmesinden çok önce başladı. 2 Mart’ta yamalar yayınlandı.

Hollanda Güvenlik Açığı İfşası Enstitüsü (DIVD) Mart ayında dünya çapında yaklaşık 250.000 İnternet’e maruz kalan Exchange sunucusunu taradıktan sonra, yamalanmamış 46.000 sunucu bulundu ProxyLogon güvenlik açıklarına karşı.

ProxyLogon saldırıları zaman çizelgesi
ProxyLogon saldırıları zaman çizelgesi (ESET)

Diğer APT gruplarına bağlantılar

ESET ayrıca kötü amaçlı yazılım türevleri ve bağlı yapılandırmalar dahil olmak üzere bilinen diğer APT gruplarına bazı bağlantılar buldu. SparklingGoblin ve DRBControl.

Bununla birlikte, araştırmacıların dediği gibi, FamousSparrow, belirli yüksek profilli hedefleri takip etmek de dahil olmak üzere, casusluk amacıyla gizliliği ihlal edilmiş otellerin sistemlerine erişimini kullanan ayrı bir varlık olarak kabul ediliyor.

“FamousSparrow, Mart 2021’in başlarında ProxyLogon uzaktan kod yürütme güvenlik açığına erişimi olan başka bir APT grubudur. SharePoint ve Oracle Opera gibi sunucu uygulamalarındaki bilinen güvenlik açıklarından yararlanma geçmişine sahiptir.” ESET araştırmacıları sonuçlandı.

“Bu, internete açık uygulamaları hızlı bir şekilde yamalamanın veya hızlı yamalama mümkün değilse, onları internete hiç maruz bırakmamanın kritik olduğunun bir başka hatırlatıcısıdır.”


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün