【図表】
観測された攻撃チェーン (ESET)
出典: https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/
【概要】
■FamousSparrowの活動
| 時期 |
内容 |
|---|---|
| 2019 | 活動を開始 |
| 2021/09 | 全世界のホテルを攻撃 |
| 2022~2024 | ホンジュラスの政府機関を攻撃 |
| 2024/07 | 米国・メキシコを攻撃 |
■FamousSparrowの使用マルウェア
| 名称 |
種別 |
備考 |
|---|---|---|
| SparrowDoor | バックドア | 新バージョンを使用 |
| ShadowPad | バックドア | 初めて使用 |
■ネットワーク情報
| IP |
Domain |
Hosting provider |
First seen |
備考 |
|---|---|---|---|---|
| 43.254.216[.]195 | - | Hongkong Wen Jing Network Limited | 2024/06/27 | FamousSparrow C&C and download server. |
| 45.131.179[.]24 | amelicen[.]com | XNNET LLC | 2024/07/05 | SparrowDoor C&C server. |
| 103.85.25[.]166 | - | Starry Network Limited | 2024/06/06 | SparrowDoor C&C server. |
| 216.238.106[.]150 | - | Vultr Holdings, LLC | 2024/03/11 | ShadowPad C&C server. |
【最新情報】
◆New SparrowDoor Backdoor Variants Found in Attacks on U.S. and Mexican Organizations (The Hacker News, 2025/03/26)
[米国およびメキシコの組織に対する攻撃で、新たなスパロードバックドアの亜種が発見される]
https://thehackernews.com/2025/03/new-sparrowdoor-backdoor-variants-found.html
⇒ https://malware-log.hatenablog.com/entry/2025/03/26/000000_1
◆China’s FamousSparrow flies back into action, breaches US org after years off the radar (The Register, 2025/03/27 22:06 UTC)
[中国のFamousSparrowが活動を再開、レーダーから消えた数年後、米国組織に侵入]Crew also cooked up two fresh SparrowDoor backdoor variants, says ESET
[ESETによると、クルーはさらに2つの新しいSparrowDoorバックドアの亜種を作成した]https://www.theregister.com/2025/03/27/china_famoussparrow_back/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_1
◆FamousSparrow:中国系APTグループが新型SparrowDoorバックドアで米国・メキシコ組織を攻撃 (InnovaTopia, 2025/03/27 08:34)
https://innovatopia.jp/cyber-security/cyber-security-news/50248/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_2
◆Chinese FamousSparrow hackers deploy upgraded malware in attacks (BleepingComputer, 2025/03/27 14:38)
[中国発のFamousSparrowハッカー集団、アップグレードしたマルウェアを攻撃で使用]
https://www.bleepingcomputer.com/news/security/chinese-famoussparrow-hackers-deploy-upgraded-malware-in-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_3
【ニュース】
■2021年
◇2021年9月
◆Researchers finger new APT group, FamousSparrow, for hotel attacks (The Register, 2021/09/23 10:00)
[新たなAPTグループ "FamousSparrow "がホテルへの攻撃を開始]Espionage motive mooted in attacks which hit industry, government too
[産業界や政府機関を襲った攻撃にはスパイ活動の動機があると言われています]https://www.theregister.com/2021/09/23/researchers_finger_new_apt_group/
⇒ https://malware-log.hatenablog.com/entry/2021/09/23/000000_3
◆Hacking group used ProxyLogon exploits to breach hotels worldwide (BleepingComputer, 2021/09/23 15:50)
[ハッキンググループがProxyLogonを悪用して世界中のホテルに侵入]
https://www.bleepingcomputer.com/news/security/hacking-group-used-proxylogon-exploits-to-breach-hotels-worldwide/
⇒ https://malware-log.hatenablog.com/entry/2021/09/23/000000
◆世界中のホテルを狙ったサイバー攻撃を確認、ESET (マイナビニュース, 2021/09/25 09:06)
https://news.mynavi.jp/article/20210925-1980914/
⇒ https://malware-log.hatenablog.com/entry/2021/09/25/000000_2
■2025年
◇2025年3月
◆New SparrowDoor Backdoor Variants Found in Attacks on U.S. and Mexican Organizations (The Hacker News, 2025/03/26)
[米国およびメキシコの組織に対する攻撃で、新たなスパロードバックドアの亜種が発見される]
https://thehackernews.com/2025/03/new-sparrowdoor-backdoor-variants-found.html
⇒ https://malware-log.hatenablog.com/entry/2025/03/26/000000_1
◆China’s FamousSparrow flies back into action, breaches US org after years off the radar (The Register, 2025/03/27 22:06 UTC)
[中国のFamousSparrowが活動を再開、レーダーから消えた数年後、米国組織に侵入]Crew also cooked up two fresh SparrowDoor backdoor variants, says ESET
[ESETによると、クルーはさらに2つの新しいSparrowDoorバックドアの亜種を作成した]https://www.theregister.com/2025/03/27/china_famoussparrow_back/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_1
◆FamousSparrow:中国系APTグループが新型SparrowDoorバックドアで米国・メキシコ組織を攻撃 (InnovaTopia, 2025/03/27 08:34)
https://innovatopia.jp/cyber-security/cyber-security-news/50248/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_2
◆Chinese FamousSparrow hackers deploy upgraded malware in attacks (BleepingComputer, 2025/03/27 14:38)
[中国発のFamousSparrowハッカー集団、アップグレードしたマルウェアを攻撃で使用]
https://www.bleepingcomputer.com/news/security/chinese-famoussparrow-hackers-deploy-upgraded-malware-in-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/03/27/000000_3
【ブログ】
◆You will always remember this as the day you finally caught FamousSparrow (WeliveSecurity, 2025/03/26)
[あなたは、この日を「ついにFamousSparrowを捕まえた日」として、いつまでも覚えていることでしょう]
https://www.welivesecurity.com/en/eset-research/you-will-always-remember-this-as-the-day-you-finally-caught-famoussparrow/
⇒ https://malware-log.hatenablog.com/entry/2025/03/26/000000_2
【公開情報】
■2021年
◇2021年9月
◆FamousSparrow: A suspicious hotel guest — Indicators of Compromise (ESET, 2021/09/23)
https://github.com/eset/malware-ioc/tree/master/famoussparrow
⇒ https://malware-log.hatenablog.com/entry/2021/09/23/000000_4
【検索】
google: FamousSparrow
google:news: FamousSparrow
google: site:virustotal.com FamousSparrow
google: site:github.com FamousSparrow
■Bing
https://www.bing.com/search?q=FamousSparrow
https://www.bing.com/news/search?q=FamousSparrow
https://twitter.com/search?q=%23FamousSparrow
https://twitter.com/hashtag/FamousSparrow
■VirusTotal
https://www.virustotal.com/gui/search/FamousSparrow
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
