自 2019 年以來，一個新發現的駭客組織正在瞄準全世界各地的酒店作為攻擊物件，此外他們還攻擊了政府、國際組織、律師事務所和工程公司等知名目標。

總部位於斯洛伐克的一家電腦安全軟體公司ESET 發現了名為

FamousSparrow

的駭客組織 ，並將其定義為具有“高階持續性威脅”的存在。

“在過去兩年，網路間諜主要針對歐洲（法國、立陶宛、英國）、中東（以色列、沙烏地阿拉伯）、美洲（巴西、加拿大、瓜地馬拉）、亞洲（臺灣）和非洲（布吉納法索）酒店進行攻擊，另外也包括世界各國政府在內的被攻擊目標表明，FamousSparrow駭客組織的目的是展開間諜活動。”ESET 研究人員 Matthieu Faou 和 Tahseen Bin Taj 說。

該組織已在暴露在Web的應用程式中，使用多種攻擊媒介來破壞其目標網路，包括 Microsoft SharePoint、Oracle Opera 酒店管理軟體中發現的稱為ProxyLogon的微軟Exchange安全漏洞。

在攻破受害者的網路後，該組織部署了自定義工具，例如系統密碼破解獲取工具 （Mimikatz） 變體，透過轉存使用者在登入Windows計算機或伺服器時驗證身份的程式來收集記憶體內容，以及僅FamousSparrow駭客組織可使用的名為 SparrowDoor 的後門。

“FamousSparrow駭客組織目前是我們在調查中發現的名為 SparrowDoor 自定義後門的唯一使用者。該組織還使用了兩個自定義版本的系統密碼破解獲取工具（Mimikatz），任何這些自定義惡意工具的都與 FamousSparrow組織存在著聯絡。”Bin Taj 解釋道。

2021年3月，也就是微軟修復漏洞的一天後，駭客組織就開始瞄準未針對 ProxyLogon 漏洞修補的Microsoft

Ex

change

伺服器。電腦安全軟體公司ESET 還分享了至少10個在加入3月份的微軟

Ex

change

漏洞攻擊狂潮後，積極濫用這些漏洞資訊的駭客組織。

荷蘭漏洞披露研究所（DIVD）在3月份掃描了全球大約 250，000 臺暴露於網際網路的微軟

Ex

change

伺服器後，發現 46，000 臺伺服器未針對 ProxyLogon 漏洞進行修補。

ESET還發現了一些已知具有“高階長期威脅”的連結，包括連線惡意軟體進行變體和配置的SparklingGoblin 和 DRBControl。

然而，正如研究人員所說，FamousSparrow組織被認為是一個單獨存在的組織，它可能會利用受感染酒店的系統的訪問許可權進行間諜活動，其中包括跟蹤特定的知名目標。

“在2021年3月早些時候FamousSparrow駭客組織就訪問過ProxyLogon漏洞。它擁有利用 SharePoint 和 Oracle Opera 等伺服器應用程式中已知漏洞的豐富經驗。這再次提醒我們，快速修補面向網際網路的應用程式至關重要。如果無法快速修補，就不要將它們暴露在網際網路上。”ESET 研究人員總結道。