Thought Leadership
Nach einer längeren Ruhephase ist die chinesische Hackergruppe FamousSparrow wieder aktiv. Laut dem IT-Sicherheitsunternehmen ESET wurde die Gruppe dabei immer gefährlicher und hat neue, hochentwickelte Spionagewerkzeuge eingesetzt.
Ziel ihrer Angriffe sind prominente Organisationen in den USA, Mexiko und Honduras, darunter Regierungsbehörden und Unternehmen im Finanzsektor.
Verborgene Gefahr: Neue Malware-Versionen entdeckt
Im Rahmen ihrer Analyse entdeckte ESET zwei unbekannte Varianten der berüchtigten Backdoor „SparrowDoor“. Diese neuen Versionen zeigen signifikante technische Fortschritte, insbesondere in Bezug auf die modulare Erweiterbarkeit und die Parallelisierung von Befehlen. Damit können die Angreifer kompromittierte Systeme noch effizienter kontrollieren.
„Obwohl diese neuen Versionen erhebliche Verbesserungen aufweisen, können sie immer noch direkt zu früheren, öffentlich dokumentierten Versionen zurückverfolgt werden. Die bei diesen Angriffen verwendeten Loader weisen zudem erhebliche Code-Überschneidungen auf, die die Handschrift von FamousSparrow tragen“, erklärt Alexandre Côté Cyr, der ESET Sicherheitsforscher hinter den Analysen.
ShadowPad und Web Shell: Neue Taktiken der Hackergruppe
Eine der auffälligsten Neuerungen bei den Angriffen ist die erstmalige Nutzung der Backdoor „ShadowPad“. Dieses hochentwickelte Spionagewerkzeug wird in der Regel exklusiv an Hacker mit Verbindungen zu China verkauft und gilt als besonders gefährlich. Zusätzlich setzten die Hacker auf eine Web Shell, um sich Zugang zu den betroffenen Netzwerken zu verschaffen. Dabei nutzten sie Sicherheitslücken in veralteten Versionen von Windows Server und Microsoft Exchange.
Neben eigenen Tools griff FamousSparrow auch auf Schadsoftware zurück, die mit anderen, mit China verbündeten APT-Gruppen in Verbindung steht. Ziel der Angriffe war es, die Backdoors „SparrowDoor“ und „ShadowPad“ zu installieren, um auf den Zielgeräten umfassende Kontrolle zu erlangen.
FamousSparrow – Eine wachsende Bedrohung
FamousSparrow wurde erstmals 2021 bekannt, als die Gruppe die ProxyLogon-Schwachstelle ausnutzte und Hotels weltweit ins Visier nahm. Seitdem hat sich ihr Zielbereich jedoch deutlich erweitert. Heute sind auch Regierungen, Technologieunternehmen und Anwaltskanzleien betroffen.
Ein früherer Bericht stellte eine Verbindung zwischen FamousSparrow und anderen APT-Gruppen wie GhostEmperor und Salt Typhoon her. Die neuen Forschungsergebnisse von ESET widerlegen jedoch diese Annahme.
„Wir sehen GhostEmperor und FamousSparrow als zwei unterschiedliche Gruppen an. Es gibt nur wenige Überschneidungen zwischen den beiden, aber viele Diskrepanzen. Auf der Grundlage unserer Daten und der Analyse der öffentlich zugänglichen Reports scheint FamousSparrow eine eigenständige Gruppe mit losen Verbindungen zu den anderen zu sein“, so Côté Cyr weiter.
Fazit
FamousSparrow bleibt eine ernstzunehmende Bedrohung im Bereich der Cybersicherheit. Ihre fortschrittlichen Angriffstaktiken und die Nutzung hochentwickelter Malware machen sie zu einer wachsenden Gefahr für Organisationen weltweit.
Weitere Informationen finden Sie im Blogpost „Ihr werdet den Tag nie vergessen, an dem ihr FamousSparrow geschnappt habt“ auf WeLiveSecurity.com.
(vp/ESET Deutschland GmbH)
