一个新的APT黑客组织，在全球范围内监视酒店和政府

一个新的高级持续性威胁（APT）是世界各地针对酒店、政府、国际组织、工程公司和律师事务所的一系列攻击的幕后黑手。

斯洛伐克网络安全公司ESET代号为“网络间谍组织”著名麻雀，据说它至少在2019年8月以来一直活跃，受害者遍布非洲、亚洲、欧洲、中东和美洲，跨越了几个国家，如布基纳法索、台湾、法国、立陶宛、英国、以色列、沙特阿拉伯、巴西、加拿大、还有危地马拉。

该组安装的攻击涉及开发服务器应用程序中的已知漏洞，如SharePoint和Oracle Opera，以及2021年3月出现的微软Exchange Server中的远程登录代码执行漏洞。这使得它成为在漏洞细节公开之前访问该漏洞的最新威胁参与者。

据ESET称，利用这些缺陷的入侵始于3月3日，导致了几个恶意工件的部署，包括两个定制版本的Mimikatz凭证窃取器、一个名为Nbtscan的NetBIOS扫描仪，以及一个名为SparrowDoor的定制植入物的加载程序。

SparrowDoor是利用一种称为DLL搜索命令劫持的技术安装的，它的功能是作为一种实用工具，深入目标内部网络的新角落，黑客还可以访问这些角落来执行任意命令，并将敏感信息收集和过滤到其控制下的远程命令和控制（C2）服务器。

虽然ESET没有将著名的帕罗集团归因于某个特定的国家，但它确实发现了其技术与与与中国有关联的温蒂集团（Winnti group）的分支SparklingGoblin和DRBControl的技术之间的相似性，DRBControl也与之前与温蒂（Winnti）和熊猫使者（Emissary Panda）活动确定的恶意软件重叠。

ESET的研究人员Tahsee Bin Taj和Matthieu Faou说：“这再次提醒我们，快速修补面向互联网的应用程序至关重要，或者，如果无法快速修补，则根本不要将它们暴露在互联网上。”。