استغلت “FamousSparrow” مجموعة نقاط الضعف الخاصة بالبريد الإلكتروني ” Microsoft Exchange ” المعروفة منذ مارس 2021.

كشف باحثو “إسيت” عن مجموعة تجسس إلكترونية جديدة تهاجم بشكل رئيسي الفنادق في جميع أنحاء العالم، الحكومات، المنظمات الدولية، والشركات الهندسية، وشركات المحاماة. حيث قامت ” إسيت” بتسمية تلك المجموعة باسم ” FamousSparrow “، كما تعتقد أن تلك المجموعة نشطة منذ عام 2019 ويتمثل هدفهم الرئيسي في التجسس الإلكتروني، وتقوم بمهاجمة الضحايا المتواجدين في المناطق الآتية: أوروبا (فرنسا – ليتوانيا والمملكة المتحدة)، الشرق الأوسط (إسرائيل والمملكة العربية السعودية)، الأمريكتان (البرازيل – كندا وجواتيمالا)، آسيا (تايوان) وأفريقيا (بوركينا فاسو).

وبمراجعة بيانات القياس عن بُعد أثناء التحقيق، اكتشفت ” إسيت” أن ” FamousSparrow ” استفادت من الثغرات الأمنية ونقاط الضعف في ” Microsoft Exchange ” والمعروفة باسم ” ProxyLogon” التي أبلغت عنها ” إسيت” في مارس 2021. حيث قامت باستخدام مجموعة تلك الثغرات الأمنية لتنفيذ التعليمات البرمجية عن بُعد من قبل أكثر من 10 مجموعات ” APT ” للاستيلاء على خوادم البريد الإلكتروني ” Microsoft Exchange ” في جميع أنحاء العالم.

ووفقًا لقياس ” إسيت ” عن بُعد أتضح أن ” FamousSparrow ” بدأت في استغلال الثغرات الأمنية في 3 مارس 2021 في اليوم التالي لإصدار التصحيح، مما يعني أن مجموعة ” APT ” هى الأخرى لديها إمكانية الوصول إلى تفاصيل سلسلة نقاط الضعف ProxyLogon” ” في مارس 2021. حيث ينصح ” ماثيو فو ” الباحث في “إسيت” والذي اكتشف مجموعة ” FamousSparrow ” مع زميله “تحسين بن تاج”: (هذا هو تذكير آخر بإن من المهم تصحيح وتحديث التطبيقات التي تواجه الإنترنت بأسرع وقت ممكن، وإذا لم يتم تصحيحها بشكل سريع فلا يتم تعريضها للإنترنت على الإطلاق).

ويقول ” تحسين بن تاج ” الباحث في “إسيت”: ( أن ” FamousSparrow ” هو المستخدم الوحيد حاليًا للباب الخلفي المخصص الذي تم الكشف عنه من خلال التحقيق والذي أطلقنا عليه اسم ” SparrowDoor “، وتستخدم المجموعة أيضًا نسختين مخصصتين من ” Mimikatz “، وأن وجود أي من هذه الأدوات الخبيثة المخصصة يمكن استخدامه لربط الحوادث بمجموعة

” FamousSparrow ” ).

وعلى الرغم من أن ” إسيت للأبحاث” تعتبر “FamousSparrow ” كيان منفصل، إلا أنها توجد علاقة تتعلق بينها وبين مجموعات تُعرف باسم” APT “. في إحدى الحالات، نشر المهاجمون نوعًا مختلفًا من ” Motnug”، وهو محمل يستخدمه

” SparklingGoblin “. وفي حالة أخرى، كان الجهار الذي تم اختراقه بواسطة ” FamousSparrow ” يشغل أيضًا ” Metasploit ” مع ” cdn.llxx888666[.]com ” كخادم القيادة التحكم، وهو رابط متعلق بمجموعة تعرف باسم ” DRDControl” .

 

 

عن إسيت