Weltweite Cyberspionage im Gange
FamousSparrow ist eine weitere APT-Gruppe, die Anfang März 2021 Zugriff auf die Sicherheitslücke ProxyLogon zur Remotecodeausführung hatte. Die Hacker nutzten in der Vergangenheit bereits bekannte Schwachstellen in Serveranwendungen wie SharePoint und Oracle Opera aus.
Im aktuellen Fall befinden sich die Opfer in Europa (Frankreich, Litauen, Vereinigtes Königreich), im Nahen Osten (Israel, Saudi-Arabien), in Nord- und Südamerika (Brasilien, Kanada und Guatemala), Asien (Taiwan) und Afrika (Burkina Faso). Die Auswahl der Ziele lässt vermuten, dass FamousSparrow vorrangig Cyberspionage betreibt.
APT-Gruppe nutzt Microsoft Exchange Sicherheitslücken aus
Laut den ESET-Forschern begann die Hacker-Gruppe am 03.03.2021, also exakt einen Tag nach der Veröffentlichung des Patches, die Schwachstellen auszunutzen. Zum Einsatz kamen dabei die benutzerdefinierte Backdoor SparrowDoor sowie zwei Varianten von Mimikatz. Letztere wird auch von der berüchtigten Winnti Group eingesetzt.
„Dieser Spionageangriff zeigt einmal mehr, wie wichtig das zeitnahe Schließen von Sicherheitslücken ist. Sollte dies – aus welchen Gründen auch immer – nicht möglich sein, sollte man betroffene Geräte nicht mit dem Internet verbinden“, empfiehlt ESET Forscher Mathieu Tartare, der FamousSparrow mit seinem Kollegen Tahseen Bin Taj analysierte.
Möglicherweise arbeitet die FamousSparrow dabei nicht allein. Einige Spuren weisen auf eine Verbindung zu SparklingGoblin und DRBControl hin. In einem Fall setzten die Angreifer eine Variante von Motnug ein, die ein von SparklingGoblin verwendeter Loader ist. In einem anderen Fall fanden die EXET-Experten auf einem von FamousSparrow kompromittierten Rechner ein laufendes Metasploit mit cdn.kkxx888666[.]com als C&C-Server. Diese Domäne ist mit einer Gruppe namens DRDControl verbunden.
Detaillierte technische Analysen stehen Ihnen auf dem ESET Blog >>WeliveSecurity<< zur Verfügung: https://www.welivesecurity.com/deutsch/2021/09/23/famoussparrow-cyberspionage-statt-zimmer-service/
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET Sicherheits-Software, die bereits über 110 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 200 Ländern und Niederlassungen u.a. in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.
ESET Deutschland GmbH
Spitzweidenweg 32
07743 Jena
Telefon: +49 (3641) 3114100
Telefax: +49 (3641) 3114299
http://www.eset.de
Head of PR and Communication
Telefon: +49 (3641) 3114-261
E-Mail: presse@eset.de