1 pièce(s) jointe(s)
Un groupe APT utilise une vulnérabilité d'Exchange pour espionner hôtels, entreprises et gouvernements
Le groupe APT (Advanced Persistent Threat) FamousSparrow utilise ProxyLogon, une vulnérabilité de Microsoft Exchange, pour espionner des hôtels, des entreprises et des gouvernements, selon ESET
La société de cybersécurité ESET a publié de nouvelles recherches sur FamousSparrow, un groupe de cyberespionnage qui s'attaque aux hôtels du monde entier, ainsi qu'aux gouvernements, aux organisations internationales, aux sociétés d'ingénierie et aux cabinets d'avocats.
Le groupe APT (Advanced Persistent Threat) FamousSparrow a exploité la vulnérabilité de Microsoft Exchange connue sous le nom de ProxyLogon, qui permet aux pirates de prendre le contrôle des serveurs Exchange.
Les attaques ont commencé dès le lendemain de la publication des correctifs pour la vulnérabilité ProxyLogon en mars 2021.
"Il s'agit d'un autre rappel qu'il est essentiel de patcher rapidement les applications orientées vers Internet ou, si un patching rapide n'est pas possible, de ne pas les exposer du tout à Internet", déclare Matthieu Faou, le chercheur d'ESET qui a découvert FamousSparrow avec son collègue Tahseen Bin Taj.
Les victimes sont situées dans le monde entier, en Europe (France, Lituanie, Royaume-Uni), au Moyen-Orient (Israël, Arabie Saoudite), en Amérique (Brésil, Canada, Guatemala), en Asie (Taiwan) et en Afrique (Burkina Faso). Les chercheurs pensent que le ciblage suggère que FamousSparrow a pour but le cyberespionnage.
Bien qu'il s'agisse d'une entité distincte, le groupe FamousSparrow aurait également des liens avec d'autres groupes APT connus. Il serait actif depuis 2019.
"FamousSparrow est actuellement le seul utilisateur d'une porte dérobée personnalisée que nous avons découverte lors de l'enquête et appelée SparrowDoor", explique Tahseen Bin Taj, chercheur chez ESET. "Le groupe utilise également deux versions personnalisées de Mimikatz. La présence de l'un de ces outils malveillants personnalisés pourrait être utilisée pour relier les incidents à FamousSparrow."
Source : Eset
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: Pensez-vous que ces attaques de FamousSparrow auraient pu être évitées ?
Voir aussi :
:fleche: Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Micrososft, pour certains les avantages de publier ce code "l'emportent sur les risques"
:fleche: Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
:fleche: Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie
