banner

ESET descubre grupo de ciberespionaje que apunta al sector hotelero

septiembre 29, 2021



El equipo de investigaciĂłn de ESET, compañía lĂ­der en detecciĂłn proactiva de amenazas, descubriĂł un nuevo grupo de ciberespionaje que ataca principalmente a hoteles de todo el mundo, pero tambiĂ©n a gobiernos, organizaciones internacionales, empresas de ingenierĂ­a y bufetes de abogados. 

El equipo de investigaciĂłn de ESET descubriĂł que FamousSparrow aprovechĂł las vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon que ESET informĂł en marzo de 2021. SegĂșn la telemetrĂ­a de ESET, FamousSparrow comenzĂł a explotar las vulnerabilidades al dĂ­a siguiente al lanzamiento de los parches. “Este es otro recordatorio de que es fundamental aplicar parches a las aplicaciones de Internet rĂĄpidamente o, si no es posible hacerlo rĂĄpidamente, no exponerlas a Internet en absoluto”, aconseja Matthieu Faou, investigador de ESET que descubriĂł FamousSparrow junto con su colega Tahseen Bin Taj.

El grupo ha estado activo desde al menos agosto de 2019 y ha estado dirigiendo sus ataques principalmente a hoteles en varios paĂ­ses. AdemĂĄs, se observadaron algunas vĂ­ctimas de otros sectores, como organismos gubernamentales, organizaciones internacionales, empresas de ingenierĂ­a y bufetes de abogados. Los paĂ­ses en los que ESET observĂł vĂ­ctimas son los siguientes: Brasil, Burkina Faso, SudĂĄfrica, CanadĂĄ, Israel, Francia, Guatemala, Lituania, Arabia Saudita, TaiwĂĄn, Tailandia y Reino Unido.

SegĂșn dijo Matthieu, “los hoteles son un blanco de ataque atractivo porque les permite a los atacantes obtener informaciĂłn de los clientes y sus hĂĄbitos de viaje, y ademĂĄs, potencialmente les da la posibilidad de la infraestructura de Wi-Fi para espiar en el trĂĄfico de redes sin cifrado”.

DistribuciĂłn geogrĂĄfica de las vĂ­ctimas de FamousSparrow

El grupo tiene un historial aprovechando vulnerabilidades conocidas en aplicaciones de servidor como SharePoint y Oracle Opera. Las vĂ­ctimas, que incluyen a gobiernos de todo el mundo, sugieren que la intenciĂłn de FamousSparrow es el espionaje. ESET destaca algunos vĂ­nculos SparklingGoblin y DRBControl, pero no considera que los grupos sean lo mismo.

“FamousSparrow es actualmente el Ășnico usuario de backdoor personalizada que descubrimos en la investigaciĂłn y que llamamos SparrowDoor. El grupo tambiĂ©n usa dos versiones personalizadas de Mimikatz. La presencia de cualquiera de estas herramientas maliciosas personalizadas podrĂ­a usarse para vincular incidentes con FamousSparrow ”, explica el investigador de ESET Tahseen Bin Taj.

Aunque el grupo de investigaciĂłn de ESET considera que FamousSparrow es una entidad independiente, existen algunas conexiones con otros grupos APT conocidos. En un caso, los atacantes desplegaron una variante de Motnug, que es un loader utilizado por SparklingGoblin. En otro caso, se encontrĂł en una mĂĄquina comprometida por FamousSparrow un Metasploit en ejecuciĂłn utilizando cdn.kkxx888666[.]com como su servidor C&C (comando y control). Este dominio estĂĄ relacionado con un grupo conocido como DRBControl.

Para obtener mås detalles técnicos sobre FamousSparrow, ingrese a "FamousSparrow: Un huésped sospechoso del hotel" en WeLiveSecurity, nuestro portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/09/27/famoussparrow-grupo-cibercriminales-apunta-hoteles/

Post a Comment

Con tecnologĂ­a de Blogger.