Sicherheitsexperten haben neue Aktionen der scheinbar inaktiven Hackergruppe „FamousSparrow“ aufgedeckt. Um sich Zugang zu Netzwerken zu verschaffen, setzen die Hacker zwei verbesserte Versionen der Backdoor „SparrowDoor“ sowie die berüchtigte Backdoor „ShadowPad“ zur Spionage ein.
Lange Zeit war es verdächtig still um die chinesische Hackergruppe FamousSparrow. Möglicherweise war das nur die Ruhe vor dem Sturm, vermutet der IT-Sicherheitshersteller ESET. Dessen Forscher entdeckten nämlich neue Aktivitäten der gefährlichen APT-Gruppe, die sich gegen hochkarätige Ziele in den USA, Mexiko und Honduras richteten. Betroffenen sind unter anderem eine US-amerikanische Handelsgruppe im Finanzsektor, ein mexikanisches Forschungsinstitut und eine zentrale Regierungsbehörde. Die Untersuchung zeigt, dass FamousSparrow dafür neue, hochentwickelte Spionagewerkzeuge einsetzte.
Neue Versionen der Backdoor SparrowDoor
ESET entdeckte im Rahmen der Analyse zwei bisher unbekannte Versionen der Backdoor „SparrowDoor“, die signifikante technische Fortschritte aufweisen. Dabei stechen besonders die modulare Erweiterbarkeit und Parallelisierung von Befehlen hervor, was eine effizientere Steuerung kompromittierter Systeme ermöglicht.
„Obwohl diese neuen Versionen erhebliche Verbesserungen aufweisen, können sie immer noch direkt zu früheren, öffentlich dokumentierten Versionen zurückverfolgt werden. Die bei diesen Angriffen verwendeten Loader weisen zudem erhebliche Code-Überschneidungen auf, die die Handschrift von FamousSparrow tragen“, erklärt Alexandre Côté Cyr, der ESET Sicherheitsforscher hinter den Analysen .
Besonders bemerkenswert: Erstmals setzte die Gruppe auch die berüchtigte Backdoor „ShadowPad“ ein. Dieses hochentwickelte Spionage-Werkzeug wird typischerweise nur an Hacker mit Verbindungen nach China verkauft.
FamousSparrow setzt innovative Werkzeuge & Taktiken ein
Um sich Zugang zu betroffenen Netzwerken zu verschaffen, setzte FamousSparrow eine sogenannte Web Shell auf einem Webserver ein. Dabei handelt es sich um eine Art Malware, mit der sich ein Angreifer Zugang zu einem System verschaffen kann. Wie genau diese Lücke genutzt wurde, ist nicht bekannt. Allerdings nutzten die Opfer veraltete Versionen von Windows Server und Microsoft Exchange.
Die Hackergruppe setzt auf eine Mischung aus unterschiedlichen Werkzeugen: Zum Einsatz kommen eigene Tools und Schadsoftware. Auch Werkzeuge, die von mit China verbündeten APT-Gruppen und aus öffentlich zugänglichen Quellen stammen, finden Verwendung. Ziel der Angriffe war es, die Backdoors SparrowDoor und ShadowPad zu installieren. Hiermit konnte FamousSparrow Befehle auf Zielgeräten ausführen, Tastenanschläge nachverfolgen, Dateien übertragen, Screenshots erstellen und vieles mehr.
Eine wachsende Bedrohung – aber wer steckt dahinter?
In einem früheren Bericht wurden FamousSparrow mit anderen Gruppen wie GhostEmperor und Salt Typhoon gleichgesetzt. Die Forschungsergebnisse von ESET widersprechen dieser Einschätzung.
„Wir sehen GhostEmperor und FamousSparrow als zwei unterschiedliche Gruppen an. Es gibt nur wenige Überschneidungen zwischen den beiden, aber viele Diskrepanzen. Auf der Grundlage unserer Daten und der Analyse der öffentlich zugänglichen Reports scheint FamousSparrow eine eigenständige Gruppe mit losen Verbindungen zu den anderen zu sein“, so Côté Cyr weiter.
Wer ist FamousSparrow?
Die Gruppe wurde erstmals 2021 von ESET beschrieben, nachdem sie gezielt die ProxyLogon-Schwachstelle ausgenutzt hatte. Ursprünglich konzentrierte sie sich auf Hotels auf der ganzen Welt, doch inzwischen hat sich ihr Angriffsziel auf Regierungen, Technologieunternehmen und Anwaltskanzleien ausgeweitet. FamousSparrow ist bisher der einzige bekannte Nutzer von SparrowDoor.
Mehr bei ESET.de
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.
Passende Artikel zum Thema