Hotel Penyerangan Grup Peretas Baru, Pemerintah

  • Whatsapp
Hotel Penyerangan Grup Peretas Baru, Pemerintah
Hotel Penyerangan Grup Peretas Baru Pemerintah
FamousSparrow – Hotel Penyerangan Grup Peretas Baru, Pemerintah dengan Memanfaatkan Bug MS Exchange

Perusahaan keamanan, ESET baru-baru ini mengidentifikasi kelompok spionase siber baru, dan diberi nama “Burung Pipit Terkenal” yang menunjukkan protagonis dari saga Pirates of the Caribbean.

Kelompok ini akan memiliki hotel di antara serangan prioritasnya, meskipun bisa juga menyerang banyak perusahaan swasta lainnya, termasuk pemerintah di Eropa, Timur Tengah, Amerika, Asia, dan Afrika.

Namun penemuan yang paling mengejutkan adalah bahwa kelompok penyerang dunia maya ini tidak menargetkan organisasi AS mana pun.

Burung Pipit Terkenal

Grup FamousSparrow menggunakan dua versi kustom Mimikatz, para peneliti mencatat selama penyelidikan mereka, dan kebiasaan ini secara khusus digunakan untuk menghubungkan konflik yang berbeda ke grup ini.

Kelompok serangan siber FamousSparrow adalah entitas yang terpisah, tetapi pada akhirnya, mereka mengetahui bahwa mereka terkait dengan banyak Grup APT.

Ada banyak kasus yang terkait dengan grup ini, namun, dalam satu kasus, pelaku ancaman memperluas varian Motnug yang merupakan loader yang dikelola oleh SparklingGoblin.

viktimologi

Namun, pada penyelesaian penyelidikan, para ahli mengetahui bahwa grup ini telah aktif setidaknya sejak Agustus 2019, dan menargetkan jaringan hotel yang berbeda.

Selain itu, ada beberapa target lain juga seperti organisasi internasional, perusahaan teknik, firma hukum dari berbagai perusahaan yang telah kami sebutkan di bawah ini:-

  • Brazil
  • Burkina Faso
  • Afrika Selatan
  • Kanada
  • Israel
  • Perancis
  • Guatemala
  • Lithuania
  • Arab Saudi
  • Taiwan
  • Thailand
  • Britania Raya

Alat Spionase Kustom Digunakan?

Di sini kami telah menyebutkan semua alat khusus yang digunakan oleh aktor ancaman, yang disebutkan di bawah ini: –

  • Varian Mimikatz
  • Utilitas kecil yang menjatuhkan ProcDump pada disk dan menggunakannya untuk membuang proses lsass, mungkin untuk mengumpulkan rahasia dalam memori, seperti kredensial
  • Nbtscan, pemindai NetBIOS
  • Pemuat untuk pintu belakang SparrowDoor

SparrowPintu

SparrowDoor awalnya dimuat melalui pembajakan urutan pencarian DLL, hanya dengan memanfaatkan tiga elemen yang merupakan executable K7 Computing yang sah (Indexer.exe) yang khusus digunakan sebagai host pembajakan DLL, DLL berbahaya (K7UI.dll), dan shellcode terenkripsi ( MpSvc.dll).

Namun, SparrowDoor umumnya berada di tengah-tengah argumen baris perintah -i:-

Selain itu, kelompok tersebut mengeksploitasi kerentanan di Microsoft Exchange yang dikenal sebagai ProxyLogon, dan mereka menyatakannya dalam laporan mereka.

Tidak hanya itu, data yang dikumpulkan melalui investigasi menunjukkan bahwa pelaku ancaman kelompok ini telah mulai mengeksploitasi kerentanan pada 3 Maret 2021, sehari setelah patch dirilis.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.