Cyberthreat.id – Peneliti keamanan ESET, perusahaan keamanan siber asal Slowakia, menemukan aktivitas jahat dari kelompok ancaman siber berjuluk “FamousSparrow”.

Kelompok yang aktif sejak 2019 itu mulai mengeksploitasi “ProxyLogon”, sebutan untuk sejumlah kerentanan pada Microsoft Exchange Server yang beberapa bulan lalu telah ditambal.

Mulai 3 Maret, sehari setelah Microsoft mengumumkan adanya peretas jahat yang menaragetkan kerentanan zero-day di Exchange Server, geng penjahat siber itu mulai mengeksploitasi untuk mengeksekusi kode jarak jauh.

ESET mengatakan, FamousSparrow diduga kuat memiliki kedekatan dengan peretas canggih (APT), seperti SparklingGoblin dan DRBControl yang diduga terkait dengan China, demikian dikutip dari Security Week, diakses Selasa (28 September 2021).

---

Berita Terkait:

• Setelah Bug ProxyLogon, Microsoft Exchange Server Kini Diserang via ProxyShell
• Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server
• Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server

---

FamousSparrow dikenal menargetkan hotel, tetapi juga menyerang organisasi pemerintah, firma hukum, dan perusahaan internasional di belasan negara, seperti Brasil, Kanada, Israel, Arab Saudi, Taiwan, dan Inggris.

Menurut ESET, selain kerentanan pada Microsoft Exchange, peretas diduga juga menargetkan kerentanan Microsoft SharePoint dan Oracle Opera (perangkat lunak manajemen hotel) untuk menjatuhkan peranti lunak jahat (malware), seperti Mimikatz—peranti yang dipakai untuk menjatuhkan “ProcDump”, pemindai Nbtscan NetBIOS, dan loader untuk “SparrowDoor”, “pintu belakang” kustom buatan geng tersebut.

“Penargetan, yang mencakup pemerintah di seluruh dunia, menunjukkan bahwa niat FamousSparrow adalah spionase. Kami telah menyoroti beberapa tautan ke SparklingGoblin dan DRBControl, tetapi kami tidak menganggap bahwa grup-grup ini sama,” kata ESET.[]