Lange Zeit war es verdächtig still um die chinesische Hackergruppe FamousSparrow. Möglicherweise war das nur die Ruhe vor dem Sturm, vermutet der IT-Sicherheitshersteller ESET. Dessen Forscher entdeckten nämlich neue Aktivitäten der gefährlichen APT-Gruppe, die sich gegen hochkarätige Ziele in den USA, Mexiko und Honduras richteten. Betroffenen sind unter anderem eine US-amerikanische Handelsgruppe im Finanzsektor, ein mexikanisches Forschungsinstitut und eine zentrale Regierungsbehörde. Die Untersuchung zeigt, dass FamousSparrow dafür neue, hochentwickelte Spionagewerkzeuge einsetzte.
Die Forschungsergebnisse wurden auf der diesjährigen ESET World präsentiert.
ESET entdeckte im Rahmen der Analyse zwei bisher unbekannte Versionen der Backdoor „SparrowDoor“, die signifikante technische Fortschritte aufweisen. Dabei stechen besonders die modulare Erweiterbarkeit und Parallelisierung von Befehlen hervor, was eine effizientere Steuerung kompromittierter Systeme ermöglicht.
„Obwohl diese neuen Versionen erhebliche Verbesserungen aufweisen, können sie immer noch direkt zu früheren, öffentlich dokumentierten Versionen zurückverfolgt werden. Die bei diesen Angriffen verwendeten Loader weisen zudem erhebliche Code-Überschneidungen auf, die die Handschrift von FamousSparrow tragen“, erklärt Alexandre Côté Cyr, der ESET Sicherheitsforscher hinter den Analysen .
Besonders bemerkenswert: Erstmals setzte die Gruppe auch die berüchtigte Backdoor „ShadowPad“ ein. Dieses hochentwickelte Spionage-Werkzeug wird typischerweise nur an Hacker mit Verbindungen nach China verkauft.
Innovative Werkzeuge & Taktiken
Um sich Zugang zu betroffenen Netzwerken zu verschaffen, setzte FamousSparrow eine sogenannte Web Shell auf einem Webserver ein. Dabei handelt es sich um eine Art Malware, mit der sich ein Angreifer Zugang zu einem System verschaffen kann. Wie genau diese Lücke genutzt wurde, ist nicht bekannt. Allerdings nutzten die Opfer veraltete Versionen von Windows Server und Microsoft Exchange.
Die Hackergruppe setzt auf eine Mischung aus unterschiedlichen Werkzeugen: Zum Einsatz kommen eigene Tools und Schadsoftware. Auch Werkzeuge, die von mit China verbündeten APT-Gruppen und aus öffentlich zugänglichen Quellen stammen, finden Verwendung. Ziel der Angriffe war es, die Backdoors SparrowDoor und ShadowPad zu installieren. Hiermit konnte FamousSparrow Befehle auf Zielgeräten ausführen, Tastenanschläge nachverfolgen, Dateien übertragen, Screenshots erstellen und vieles mehr.
Überblick über die in dieser FamousSparrow-Kampagne verwendete Angriffstaktik.
Eine wachsende Bedrohung – aber wer steckt dahinter?
In einem früheren Bericht wurden FamousSparrow mit anderen Gruppen wie GhostEmperor und Salt Typhoon gleichgesetzt. Die Forschungsergebnisse von ESET widersprechen dieser Einschätzung.
„Wir sehen GhostEmperor und FamousSparrow als zwei unterschiedliche Gruppen an. Es gibt nur wenige Überschneidungen zwischen den beiden, aber viele Diskrepanzen. Auf der Grundlage unserer Daten und der Analyse der öffentlich zugänglichen Reports scheint FamousSparrow eine eigenständige Gruppe mit losen Verbindungen zu den anderen zu sein“, so Côté Cyr weiter.
Wer ist FamousSparrow?
Die Gruppe wurde erstmals 2021 von ESET beschrieben, nachdem sie gezielt die ProxyLogon-Schwachstelle ausgenutzt hatte. Ursprünglich konzentrierte sie sich auf Hotels auf der ganzen Welt, doch inzwischen hat sich ihr Angriffsziel auf Regierungen, Technologieunternehmen und Anwaltskanzleien ausgeweitet. FamousSparrow ist bisher der einzige bekannte Nutzer von SparrowDoor.
Weitere Informationen finden Sie im Blogpost „Ihr werdet den Tag nie vergessen, an dem ihr FamousSparrow geschnappt habt“ auf WeLiveSecurity.com.