Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Ungebetener Zimmergast: Hackergruppe spioniert Regierungen und Organisationen in Hotels aus

Ungebetener Zimmergast: Hackergruppe spioniert Regierungen und Organisationen in Hotels aus

Archivmeldung vom 23.09.2021

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 23.09.2021 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Sanjo Babić
Übersicht der weltweiten Angriffsziele von FamousSparrow Bild: ESET Deutschland GmbH Fotograf: ESET Deutschland GmbH
Übersicht der weltweiten Angriffsziele von FamousSparrow Bild: ESET Deutschland GmbH Fotograf: ESET Deutschland GmbH

Eine bislang eher unauffällige Cyberspionage-Gruppe hat eindrucksvoll bewiesen, wie schnell eine bekanntgewordene Schwachstelle ausgenutzt wird. "FamousSparrow" begann genau einen Tag nach der Veröffentlichung der Microsoft Exchange Sicherheitslücken (März 2021) mit seinen Spionage-Attacken.

Dieser sogenannte Advanced Persistent Threat (APT) greift weltweit vor allem Hotels an. Aber auch Ziele in anderen Bereichen wie Regierungen, internationale Organisationen, Ingenieurbüros und Anwaltskanzleien stehen mittlerweile auf der Agenda. Die ESET-Forscher haben das Vorgehen der Hackergruppe untersucht und auf dem Security-Blog welivesecurity.de veröffentlicht.

Weltweite Cyberspionage im Gange

FamousSparrow ist eine weitere APT-Gruppe, die Anfang März 2021 Zugriff auf die Sicherheitslücke ProxyLogon zur Remotecodeausführung hatte. Die Hacker nutzten in der Vergangenheit bereits bekannte Schwachstellen in Serveranwendungen wie SharePoint und Oracle Opera aus.

Im aktuellen Fall befinden sich die Opfer in Europa (Frankreich, Litauen, Vereinigtes Königreich), im Nahen Osten (Israel, Saudi-Arabien), in Nord- und Südamerika (Brasilien, Kanada und Guatemala), Asien (Taiwan) und Afrika (Burkina Faso). Die Auswahl der Ziele lässt vermuten, dass FamousSparrow vorrangig Cyberspionage betreibt.

APT-Gruppe nutzt Microsoft Exchange Sicherheitslücken aus

Laut den ESET-Forschern begann die Hacker-Gruppe am 03.03.2021, also exakt einen Tag nach der Veröffentlichung des Patches, die Schwachstellen auszunutzen. Zum Einsatz kamen dabei die benutzerdefinierte Backdoor SparrowDoor sowie zwei Varianten von Mimikatz. Letztere wird auch von der berüchtigten Winnti Group eingesetzt.

"Dieser Spionageangriff zeigt einmal mehr, wie wichtig das zeitnahe Schließen von Sicherheitslücken ist. Sollte dies - aus welchen Gründen auch immer - nicht möglich sein, sollte man betroffene Geräte nicht mit dem Internet verbinden", empfiehlt ESET Forscher Mathieu Tartare, der FamousSparrow mit seinem Kollegen Tahseen Bin Taj analysierte.

Möglicherweise arbeitet die FamousSparrow dabei nicht allein. Einige Spuren weisen auf eine Verbindung zu SparklingGoblin und DRBControl hin. In einem Fall setzten die Angreifer eine Variante von Motnug ein, die ein von SparklingGoblin verwendeter Loader ist. In einem anderen Fall fanden die EXET-Experten auf einem von FamousSparrow kompromittierten Rechner ein laufendes Metasploit mit cdn.kkxx888666[.]com als C&C-Server. Diese Domäne ist mit einer Gruppe namens DRDControl verbunden. Detaillierte technische Analysen stehen Ihnen auf dem ESET Blog >>WeliveSecurity<< zur Verfügung: https://ots.de/pgI6QL

Quelle: ESET Deutschland GmbH (ots)

Gern gelesene Artikel

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Weitere Videos
Termine
Kommende Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte zieht in folgendes Feld um den Spam-Filter zu umgehen

Oder nutzen sie unseren
News-Feed News-Feed
Anzeige