Perusahaan keamanan, ESET baru-baru ini mengidentifikasi kelompok spionase siber baru, dan diberi nama “Burung Pipit Terkenal” yang menunjukkan protagonis dari saga Pirates of the Caribbean.
Kelompok ini akan memiliki hotel di antara serangan prioritasnya, meskipun bisa juga menyerang banyak perusahaan swasta lainnya, termasuk pemerintah di Eropa, Timur Tengah, Amerika, Asia, dan Afrika.
Namun penemuan yang paling mengejutkan adalah bahwa kelompok penyerang dunia maya ini tidak menargetkan organisasi AS mana pun.
Burung Pipit Terkenal
Grup FamousSparrow menggunakan dua versi kustom Mimikatz, para peneliti mencatat selama penyelidikan mereka, dan kebiasaan ini secara khusus digunakan untuk menghubungkan konflik yang berbeda ke grup ini.
Kelompok serangan siber FamousSparrow adalah entitas yang terpisah, tetapi pada akhirnya, mereka mengetahui bahwa mereka terkait dengan banyak Grup APT.
Ada banyak kasus yang terkait dengan grup ini, namun, dalam satu kasus, pelaku ancaman memperluas varian Motnug yang merupakan loader yang dikelola oleh SparklingGoblin.
viktimologi
Namun, pada penyelesaian penyelidikan, para ahli mengetahui bahwa grup ini telah aktif setidaknya sejak Agustus 2019, dan menargetkan jaringan hotel yang berbeda.
Selain itu, ada beberapa target lain juga seperti organisasi internasional, perusahaan teknik, firma hukum dari berbagai perusahaan yang telah kami sebutkan di bawah ini:-
- Brazil
- Burkina Faso
- Afrika Selatan
- Kanada
- Israel
- Perancis
- Guatemala
- Lithuania
- Arab Saudi
- Taiwan
- Thailand
- Britania Raya
Alat Spionase Kustom Digunakan?
Di sini kami telah menyebutkan semua alat khusus yang digunakan oleh aktor ancaman, yang disebutkan di bawah ini: –
- Varian Mimikatz
- Utilitas kecil yang menjatuhkan ProcDump pada disk dan menggunakannya untuk membuang proses lsass, mungkin untuk mengumpulkan rahasia dalam memori, seperti kredensial
- Nbtscan, pemindai NetBIOS
- Pemuat untuk pintu belakang SparrowDoor
SparrowPintu
SparrowDoor awalnya dimuat melalui pembajakan urutan pencarian DLL, hanya dengan memanfaatkan tiga elemen yang merupakan executable K7 Computing yang sah (Indexer.exe) yang khusus digunakan sebagai host pembajakan DLL, DLL berbahaya (K7UI.dll), dan shellcode terenkripsi ( MpSvc.dll).
Namun, SparrowDoor umumnya berada di tengah-tengah argumen baris perintah -i:-

Selain itu, kelompok tersebut mengeksploitasi kerentanan di Microsoft Exchange yang dikenal sebagai ProxyLogon, dan mereka menyatakannya dalam laporan mereka.
Tidak hanya itu, data yang dikumpulkan melalui investigasi menunjukkan bahwa pelaku ancaman kelompok ini telah mulai mengeksploitasi kerentanan pada 3 Maret 2021, sehari setelah patch dirilis.
Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian.