间谍组织FamousSparrow利用ProxyLogon漏洞入侵受害组织，植入后门程式

许多企业使用的邮件系统Exchange Server，今年3月初惊传重大漏洞ProxyLogon，多个骇客组织在微软发布修补程式之后，开始运用这个漏洞进行攻击。例如，ESET最近揭露针对全球饭店、-的网络间谍组织FamousSparrow，骇客在受害组织植入后门程式的入侵管道，就包含ProxyLogon漏洞利用。

这个骇客组织引起ESET关注的原因之一，就在于他们于微软发布修补程式的隔日（3月3日），就着手运用前述的Exchange Server漏洞。

受害者遍及12个国家，台湾也在名单之内

ESET根据遥测的资料进行分析，他们认为FamousSparrow至少从2019年8月就开始活动，主要的攻击目标是全球的饭店。

但是，除了针对多家饭店之外，ESET也看到其他攻击活动，锁定对象包括：台湾、巴西、南非、加拿大、以色列、法国、英国、危地马拉等12国-单位、国际组织、工程公司，以及法律事务所等行业。

这个网络间谍组织究竟采用何种攻击手法？

ESET指出，FamousSparrow的偏好，是经由曝露在互联网的网页应用程序，来入侵受害组织的系统，他们认为，该组织不只锁定Exchange Server，还有SharePoint、Oracle提供用于管理饭店的商业软件Opera，并用这些网页程式已知的远端程式码执行（RCE）漏洞，进而在组织内植入恶意程式。

作案软件包含与窃密有关的工具

一旦FamousSparrow成功入侵上述服务器主机， 便会部署多种作案工具： 包含了骇客自行编译的Mimikatz，以及NetBIOS扫描工具Nbtscan、后门程式SparrowDoor的载入工具，还有疑似用来收集受害电脑内存内机密的工具。不过，对于此泄密工具，ESET并未提及名称，但指出其用途是下载ProcDump的应用程序，导出LSASS处理程序里的资料。

而对于后门程式SparrowDoor的运作方式，ESET也做出说明：当中使用K7 Computing防毒软件的合法应用程序，名为Indexer.exe，趁机夹带恶意DLL档案K7UI.dll，以及加密的Shellcode（MpSvc.dll）。

因Indexer.exe需K7UI.dll程式库才能执行，再加上攻击者存放此可执行程式的路径，具备最高载入优先级，容易触发DLL劫持攻击。

关于SparrowDoor后门程式的运作方式，根据资安业者ESET的揭露，是先由合法的K7 Computing防毒软件元件载入恶意程式库，再执行Shellcode进行解码程序，最终才在受害电脑编译并执行后门程式。

不过，SparrowDoor这个后门程式，究竟有那些功能？

ESET指出，攻击者可透过该程式，窜改档名或移除档案、建立资料夹、传送档案资讯、取得档案大小与写入时间、外泄特定档案的内容。此外，为了清除相关的迹证，SparrowDoor也能自我删除档案，以及移除能在受害装置持续运作的配置。