Llegamos a ustedes gracias a:



Alertas de Seguridad

ESET Research descubre al grupo APT FamousSparrow

Espiando a hoteles, gobiernos y empresas privadas

[27/09/2021] Los investigadores de ESET han descubierto un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero también a gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados. ESET ha bautizado a este grupo como FamousSparrow y cree que ha estado activo desde al menos el 2019. Las víctimas de FamousSparrow se encuentran en Europa (Francia, Lituania, Reino Unido), Oriente Medio (Israel, Arabia Saudí), América (Brasil, Canadá, Guatemala), Asia (Taiwán) y África (Burkina Faso). La selección de objetivos sugiere que la intención de FamousSparrow es el ciberespionaje.

Al revisar los datos de telemetría durante su investigación, ESET Research descubrió que FamousSparrow aprovechó las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon sobre las que ESET informó en marzo del 2021. Esta cadena de vulnerabilidades de ejecución remota de código fue utilizada por más de 10 grupos APT para tomar el control de los servidores de correo electrónico de Exchange en todo el mundo.

Según la telemetría de ESET, FamousSparrow comenzó a explotar las vulnerabilidades el 3 de marzo del 2021, el día siguiente a la publicación de los parches, lo que significa que es otro grupo APT que tuvo acceso a los detalles de la cadena de vulnerabilidades ProxyLogon en marzo del 2021. "Esto es otro recordatorio de que es fundamental parchear rápidamente las aplicaciones orientadas a Internet o, si no es posible hacerlo rápidamente, no exponerlas a Internet en absoluto", señaló Matthieu Faou, investigador de ESET que descubrió FamousSparrow junto con su colega, Tahseen Bin Taj.

"FamousSparrow es actualmente el único usuario de un backdoor personalizado que descubrimos en la investigación y que se llama SparrowDoor. El grupo también utiliza dos versiones personalizadas de Mimikatz. La presencia de cualquiera de estas herramientas maliciosas personalizadas podría utilizarse para conectar incidentes con FamousSparrow", explicó el investigador de ESET Tahseen Bin Taj.

Señaló, asimismo que, aunque la investigación de ESET considera que FamousSparrow es una entidad independiente, existen algunas conexiones con otros grupos APT conocidos. "En un caso, los atacantes desplegaron una variante de Motnug, un cargador utilizado por SparklingGoblin. En otro caso, una máquina comprometida por FamousSparrow también ejecutaba Metasploit con cdn.kkxx888666[.]com como servidor de comando y control, un dominio relacionado con un grupo conocido como DRDControl.