Hackergruppe spioniert Regierungen und Organisationen in Hotels aus

Eset_News
Anzeige

Beitrag teilen

„FamousSparrow“ nutzt Microsoft Exchange Sicherheitslücken vom März 2021 aus. Hackergruppe spioniert Regierungen und Organisationen in Hotels aus.

Eine bislang eher unauffällige Cyberspionage-Gruppe hat eindrucksvoll bewiesen, wie schnell eine bekanntgewordene Schwachstelle ausgenutzt wird. „FamousSparrow“ begann genau einen Tag nach der Veröffentlichung der Microsoft Exchange Sicherheitslücken (März 2021) mit seinen Spionage-Attacken. Dieser sogenannte Advanced Persistent Threat (APT) greift weltweit vor allem Hotels an. Aber auch Ziele in anderen Bereichen wie Regierungen, internationale Organisationen, Ingenieurbüros und Anwaltskanzleien stehen mittlerweile auf der Agenda. Die ESET-Forscher haben das Vorgehen der Hackergruppe untersucht und auf dem Security-Blog welivesecurity.de veröffentlicht.

Anzeige

Weltweite Cyberspionage im Gange

FamousSparrow ist eine weitere APT-Gruppe, die Anfang März 2021 Zugriff auf die Sicherheitslücke ProxyLogon zur Remotecodeausführung hatte. Die Hacker nutzten in der Vergangenheit bereits bekannte Schwachstellen in Serveranwendungen wie SharePoint und Oracle Opera aus.

Im aktuellen Fall befinden sich die Opfer in Europa (Frankreich, Litauen, Vereinigtes Königreich), im Nahen Osten (Israel, Saudi-Arabien), in Nord- und Südamerika (Brasilien, Kanada und Guatemala), Asien (Taiwan) und Afrika (Burkina Faso). Die Auswahl der Ziele lässt vermuten, dass FamousSparrow vorrangig Cyberspionage betreibt.

Anzeige

APT-Gruppe nutzt Microsoft Exchange Sicherheitslücken aus

Laut den ESET-Forschern begann die Hacker-Gruppe am 03.03.2021, also exakt einen Tag nach der Veröffentlichung des Patches, die Schwachstellen auszunutzen. Zum Einsatz kamen dabei die benutzerdefinierte Backdoor SparrowDoor sowie zwei Varianten von Mimikatz. Letztere wird auch von der berüchtigten Winnti Group eingesetzt.

„Dieser Spionageangriff zeigt einmal mehr, wie wichtig das zeitnahe Schließen von Sicherheitslücken ist. Sollte dies – aus welchen Gründen auch immer – nicht möglich sein, sollte man betroffene Geräte nicht mit dem Internet verbinden“, empfiehlt ESET Forscher Mathieu Tartare, der FamousSparrow mit seinem Kollegen Tahseen Bin Taj analysierte.

Möglicherweise arbeitet die Hackergruppe FamousSparrow dabei nicht allein. Einige Spuren weisen auf eine Verbindung zu SparklingGoblin und DRBControl hin. In einem Fall setzten die Angreifer eine Variante von Motnug ein, die ein von SparklingGoblin verwendeter Loader ist. In einem anderen Fall fanden die EXET-Experten auf einem von FamousSparrow kompromittierten Rechner ein laufendes Metasploit mit cdn.kkxx888666[.]com als C&C-Server. Diese Domäne ist mit einer Gruppe namens DRDControl verbunden.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Staatliche Hacker: Desinformationskampagnen gegen die Ukraine 

Recherchen von Mandiant bieten eine umfassende Analyse der diversen Desinformationskampagnen, die seit Beginn der russischen Invasion der Ukraine beobachtet werden ➡ Weiterlesen

APT 41: Globale chinesische Cyberspionage-Kampagne

Cybereason deckt globale chinesische Cyberspionage-Kampagne auf: Unternehmen aus Nordamerika, Europa und Asien im Visier "Operation CuckooBees" enthüllt die schwer fassbare ➡ Weiterlesen

BSI: Schwachstellen-Kombination macht VMware-Produkte angreifbar

Das BSI meldet, dass eine kombinierte Ausnutzung von kritischen Schwachstellen die Übernahme von ausgewählten VMWare-Produkten ermöglichen kann. Das Problem hat ➡ Weiterlesen

FBI, CISA und NSA warnen vor Hacker-Angriffen auf MSPs

Mitglieder der Geheimdienstallianz Five Eyes (FVEY) haben Managed Service Provider (MSP) und ihre Kunden davor gewarnt, dass sie zunehmend Angriffen ➡ Weiterlesen

Ransomware-Angriffe: Costa Rica ruft nationalen Notstand aus

Der costaricanische Präsident Rodrigo Chaves hat am Wochenende den nationalen Notstand in Costa Rica ausgerufen, nachdem die Ransomware-Gruppe Conti mehrere ➡ Weiterlesen

Traktoren-Fendt durch Hacker-Angriff lahmgelegt

Wie die Allgäuer Zeitung berichtet, stockt bereits seit letzter Woche beim Traktoren-Bauer Fendt die Produktion wegen eines massiven Hacker-Angriffs. Teilweise ➡ Weiterlesen

Cybercrime-Trainees bereiten Attacke vor?

Effektive Arbeitsteilung oder Anzucht von Cybercrime-Trainees? Nach einer eher stümperhafter Netzwerkinfiltration übernehmen abschließend die Profis mit Lockbit Ransomware. Den Sophos Forscher ist ➡ Weiterlesen

Mutmaßliche LAPSUS$-Hacker vor Gericht – Angriffe gehen weiter

LAPSUS$-Bande geschnappt? Die Angriffe gehen dennoch weiter. Beschäftigte in Unternehmen sollten über Attacken mit Social-Engineering-Techniken besser aufgeklärt werden und zusammen ➡ Weiterlesen