- ESET-onderzoekers ontdekten dat FamousSparrow een handelsorganisatie in de Amerikaanse financiële sector, een onderzoeksinstituut in Mexico en een overheidsinstelling in Honduras heeft gecompromitteerd.
- FamousSparrow, een China-gelieerde Advanced Persistent Threat (APT)-groep, gebruikten twee niet eerder gedocumenteerde versies van de SparrowDoor-backdoor.
- Beide versies vormen aanzienlijke vooruitgang ten opzichte van eerdere versies en implementeren parallellisering van opdrachten.
- Ook werd voor het eerst waargenomen dat de APT-groep de ShadowPad-backdoor gebruikte.
Sliedrecht, 26 maart 2024 –ESET Research onderzocht verdachte activiteiten binnen het netwerk van een handelsorganisatie in de financiële sector in de Verenigde Staten. Tijdens het helpen van de getroffen organisatie deed ESET een onverwachte ontdekking in het systeem van het slachtoffer: kwaadaardige tools die toebehoren aan FamousSparrow, een aan China gelieerde APT-groep. Er werd aangenomen dat de groep niet langer actief was, aangezien er sinds 2022 geen openbaar gedocumenteerde activiteiten van FamousSparrow meer waren. Het onderzoek van ESET toont echter aan dat FamousSparrow in deze periode niet alleen nog steeds actief was, maar ook zijn toolset verder ontwikkelde. Dit bleek uit het feit dat het gecompromitteerde netwerk niet één, maar twee niet eerder gedocumenteerde versies van SparrowDoor bevatte – de kenmerkende backdoor van FamousSparrow.
ESET Research bracht meer activiteiten van de groep aan het licht tussen 2022 en 2024, waaronder een aanval op een overheidsinstelling in Honduras. Ook ontdekte ESET dat de groep als onderdeel van deze campagne een onderzoeksinstituut in Mexico wist binnen te dringen. Dat gebeurde een paar dagen voordat de aanval in de VS plaatsvond. Beide inbraken vonden plaats eind juni 2024. De nieuwe versies van SparrowDoor die de groep gebruikte vormen een duidelijke vooruitgang ten opzichte van eerdere versies. Met name op het gebied van codekwaliteit en architectuur. Een van de versies introduceert bovendien parallellisering van opdrachten.
"Hoewel deze nieuwe versies aanzienlijke upgrades bevatten, zijn ze nog steeds direct te herleiden naar eerdere, openbaar gedocumenteerde versies. Ook de loaders die in deze aanvallen zijn gebruikt, vertonen substantiële code-overeenkomsten met eerder aan FamousSparrow toegeschreven samples," zegt ESET-onderzoeker Alexandre Côté Cyr, die de ontdekking deed.
Aanvalsstrategie en gebruikte toolset
Om initiële toegang tot het getroffen netwerk te verkrijgen, plaatste FamousSparrow een webshell op een IIS-server. Hoewel ESET niet exact kon vaststellen welk exploit werd gebruikt om de webshells te implementeren, draaiden beide slachtoffers verouderde versies van Windows Server en Microsoft Exchange, waarvoor meerdere publiek beschikbare exploits bestaan.
Als onderdeel van deze campagne gebruikte de groep een mix van tools en malware naast de middelen die door andere China-gelieerde APT-groepen worden gebruikt. Maar er werden ook tools uit openbare bronnen gebruikt. De belangrijkste payloads waren de backdoors SparrowDoor en ShadowPad. Deze toolset omvatte plug-ins die in staat zijn om:
- Opdrachten uit te voeren
- Bestanden te manipuleren
- Keylogging uit te voeren
- Bestanden over te dragen
- Processen te beheren (lijst opvragen en beëindigen)
- Bestanden en mapwijzigingen te monitoren
- Schermafbeeldingen te maken
Verwarring rond FamousSparrow en Salt Typhoon
In september 2024 publiceerde de Wall Street Journal een artikel waarin werd gemeld dat internetproviders in de Verenigde Staten waren gecompromitteerd door een dreigingsactor genaamd Salt Typhoon. Volgens claims van Microsoft zou deze dreigingsactor identiek zijn aan FamousSparrow en GhostEmperor.
“Dit was het eerste openbare rapport dat deze twee groepen aan elkaar koppelde. Wij zien GhostEmperor en FamousSparrow echter als twee afzonderlijke groepen. Er zijn wel enkele overeenkomsten, maar er zijn ook veel verschillen. Op basis van onze gegevens en de analyse van openbaar beschikbare rapporten lijkt FamousSparrow een op zichzelf staande entiteit, met slechts losse verbindingen met de andere,” legt Côté Cyr uit.
Achtergrond van FamousSparrow
FamousSparrow is een cyberespionagegroep die minstens sinds 2019 actief is. ESET Research documenteerde de groep voor het eerst in 2021, toen het ontdekte dat de groep misbruik maakte van de ProxyLogon-kwetsbaarheid. Aanvankelijk stond de groep bekend om het aanvallen van hotels over de hele wereld, maar later werden ook overheden, internationale organisaties, ingenieursbedrijven en advocatenkantoren doelwit van hun aanvallen.
FamousSparrow is de enige bekende gebruiker van de SparrowDoor-backdoor.
Voor een gedetailleerde analyse en technische breakdown van de toolset van FamousSparrow, lees het nieuwste ESET Research-blogartikel “You will always remember this as the day you finally caught FamousSparrow” op WeLiveSecurity.com.
Volg ESET Research op Twitter (nu X), BlueSky en Mastodon voor het laatste nieuws van ESET Research.
Overzicht van de compromisketen die is gebruikt in deze FamousSparrow-campagne
Over ESET
ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET's bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.