APT-группа FamousSparrow атакует бизнес и госсектор через ProxyLogon
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

APT-группа FamousSparrow атакует бизнес и госсектор через ProxyLogon

Татьяна Никитина 23 Сентября 2021 - 17:31
...
APT-группа FamousSparrow атакует бизнес и госсектор через ProxyLogon

Эксперты ESET изучили modus operandi новой APT-группы, которую они нарекли FamousSparrow. Злоумышленники проникают в сети госструктур и частных компаний через уязвимости веб-приложений, в том числе Microsoft Exchange.

Эта хакерская группировка, по данным ESET, действует в интернете с 2019 года. Ее боевой арсенал включает уникальный бэкдор — исследователи идентифицируют его как SparrowDoor. Очевидной связи с другими APT-группами не выявлено, хотя зафиксированы случаи, когда FamousSparrow использовала чужую программу-загрузчик или уже засветившийся C2-домен.

В марте этого года ОПГ начала штурмовать свои мишени через уязвимости в Microsoft Exchange Server, известные под общим именем ProxyLogon. Хакеры обнаружили эти лазейки раньше выхода патчей и быстро взяли их на вооружение — как и некоторые их коллеги по цеху (в ESET знают более десятка таких APT-групп).

К сожалению, несмотря на наличие патчей, проблема ProxyLogon, видимо, далеко не везде решена на местах. В середине лета она вышла в топ списков уязвимостей, наиболее популярных у злоумышленников, и актуальна до сих пор.

Кроме дыр в Microsoft Exchange, хакеры FamousSparrow в качестве точки входа используют также уязвимости Microsoft SharePoint и Oracle Opera. На взломанном сервере устанавливается бэкдор (SparrowDoor); анализ показал, что вредоносный код загружается в память текущего процесса по методу подмены DLL.

Инструментарий взломщиков также включает две кастомные версии Mimikatz. NetBIOS-сканер (Nbtscan) и небольшую утилиту для получения данных из памяти — таких, как логины и пароли.

Исследователи выявили порядка 20 очагов заражения, возникших в результате атак FamousSparrow. Хакеры наследили по всему миру — в Европе (Великобритания, Франция, Литва), обеих Америках (Канада, Бразилия, Гватемала), Азии, Африке, на Ближнем Востоке. Заражений в США, к удивлению экспертов, пока не обнаружено.

 

Основной целью атак FamousSparrow предположительно является шпионаж. Примечательно, что большинство жертв этой APT-группы — держатели гостиниц. В комментарии для The Register представитель ESET высказал такое предположение:

«Кибершпионы интересуются отелями, чтобы следить за своей целью во время ее путешествий. К тому же, проникнув в сеть отеля, они получают возможность отслеживать трафик всех гостей».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-вредонос RelayNFC превращает смартфоны в удалённые ридеры карт
Екатерина Быстрова 26 Ноября 2025 - 09:52
Android Трояны Домашние пользователи
Android-вредонос RelayNFC превращает смартфоны в удалённые ридеры карт

Cyble Research and Intelligence Labs (CRIL) сообщила о новой, стремительно развивающейся кампании, нацеленной на пользователей мобильных устройств. Исследователи обнаружили семейство RelayNFC — вредоносную программу, которая превращает заражённый Android-смартфон в удалённый ридер банковских карт.

По сути, злоумышленники получают возможность проводить бесконтактные транзакции так, будто карта жертвы находится у них в руках.

По данным CRIL, RelayNFC отличается лёгким весом и высокой скрытностью. Разработчики используют компиляцию Hermes, из-за которой полезная нагрузка уходит в байт-код и становится труднее для анализа. Вдобавок образцы пока показывают отсутствие детектов на VirusTotal, так что защитные решения пока не умеют выявлять угрозу.

Кампания распространяется через фишинговые ресурсы, стилизованные под сервисы безопасности банков. CRIL нашла как минимум пять таких сайтов, которые распространяют один и тот же APK-файл. Схема стандартная: под видом «проверки безопасности» пользователю предлагают скачать приложение, которое якобы защитит карту.

 

После установки RelayNFC показывает фальшивый интерфейс с инструкцией поднести банковскую карту к смартфону. На экране появляется фраза на португальском “APROXIME O CARTÃO” — «поднесите карту ближе». В этот момент вредоносный код считывает данные карты через NFC и отправляет их на сервер злоумышленников. Затем программа запрашивает ПИН-код, который также уходит на сервер.

 

Дальше работает механизм реального APDU-relay: смартфон жертвы поддерживает постоянное WebSocket-соединение с командным сервером. Когда злоумышленники запускают операцию на своём поддельном POS-терминале, сервер передаёт на заражённое устройство APDU-команды, а RelayNFC пересылает их NFC-чипу телефона. Ответ карты возвращается по тому же каналу. Таким образом, злоумышленники проводят полноценную платёжную операцию в режиме реального времени.

CRIL также обнаружила второй образец — cartao-seguro.apk. В нём исследователи нашли компонент RelayHostApduService, который пытается реализовать Host Card Emulation, то есть не только читать карту, но и эмулировать её. Это выглядит как эксперимент разработчиков с альтернативными схемами атак через NFC.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
MaxPatrol EDR 8.1 получил новый интерфейс и расширенную интеграцию
Новость
MaxPatrol EDR 8.1 получил новый интерфейс и расширенную инте...
Мошенники крадут Google и Telegram-аккаунты через поддельный Zoom
Новость
Мошенники крадут Google и Telegram-аккаунты через поддельный...
Positive Technologies показала решение для защиты открытой АСУ ТП
Новость
Positive Technologies показала решение для защиты открытой А...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.