Im Juli 2024 entdeckte ESET Research eindeutige Hinweise auf eine Kompromittierung des Systems einer Handelsgruppe in den USA, die im Finanzsektor aktiv ist. Wir haben dem Unternehmen geholfen, die Kompromittierung zu beheben, und im Netzwerk des Opfers unerwartete bösartige Tools entdeckt, die zu FamousSparrow gehören. Seit 2022 gab es keine öffentlich dokumentierten Aktivitäten von FamousSparrow mehr, sodass man dachte, die Gruppe sei inaktiv. FamousSparrow war in dieser Zeit nicht nur weiterhin aktiv, sondern hat auch fleißig an der Entwicklung seiner Tools gearbeitet. Das kompromittierte Netzwerk enthüllte nicht nur eine, sondern gleich zwei bisher nicht dokumentierte Versionen von SparrowDoor, dem Flaggschiff von FamousSparrow.

Beide Versionen sind ein deutlicher Fortschritt gegenüber früheren Versionen, insbesondere in Bezug auf Codequalität und Architektur. Eine der beiden Versionen ähnelt der Backdoor, die Forscher von Trend Micro CrowDoor nannten und im November 2024 der APT-Gruppe Earth Estries zuschrieben. Die andere ist modular aufgebaut und unterscheidet sich deutlich von allen früheren Versionen. Diese Kampagne markiert auch das erste dokumentierte Beispiel für FamousSparrow ShadowPad, eine privat verkaufte Backdoor, die ausschließlich an chinesisch orientierte Bedrohungsakteure geliefert wird.

Wir haben außerdem herausgefunden, dass es dem Bedrohungsakteur im Rahmen dieser Kampagne gelang, nur wenige Tage vor der Kompromittierung in den USA in ein Forschungsinstitut in Mexiko einzudringen.

Bei der Nachverfolgung dieser Angriffe haben wir weitere Aktivitäten der Gruppe zwischen 2022 und 2024 entdeckt und untersuchen diese derzeit. Unter anderem haben wir eine staatliche Einrichtung in Honduras angegriffen.

In diesem Blogpost erfahren Sie mehr über das Toolset der Kampagne vom Juli 2024, wobei der Schwerpunkt auf den undokumentierten Versionen der SparrowDoor-Backdoor liegt, die wir beim US-Opfer entdeckt haben.

Die wichtigsten Punkte dieses Blogposts:
  • ESET-Forscher fanden heraus, dass FamousSparrow eine Handelsgruppe für den Finanzsektor in den Vereinigten Staaten und ein Forschungsinstitut in Mexiko kompromittiert hat.
  • FamousSparrow setzte zwei bisher nicht dokumentierte Versionen der SparrowDoor-Backdoor ein, von denen eine modular ist.
  • Beide Versionen stellen einen erheblichen Fortschritt gegenüber früheren Versionen dar und ermöglichen die Parallelisierung von Befehlen.
  • Die APT-Gruppe wurde auch dabei beobachtet, wie sie zum ersten Mal die ShadowPad-Backdoor verwendete.
  • Wir erörtern die Behauptungen von Microsoft Threat Intelligence, die FamousSparrow mit Salt Typhoon in Verbindung bringen.

FamousSparrow ist eine Cyberspionage-Gruppe mit Verbindungen nach China, die seit mindestens 2019 aktiv ist. Wir haben die Gruppe erstmals öffentlich in einem Blogpost aus dem Jahr 2021 dokumentiert, als wir beobachteten, wie sie die ProxyLogon-Schwachstelle ausnutzte. Die Gruppe hat sich zunächst auf die Ausspähung von Hotels weltweit spezialisiert, greift aber auch Regierungen, internationale Organisationen, Technikunternehmen und Anwaltskanzleien an. FamousSparrow ist der einzige bekannte Nutzer der SparrowDoor-Hintertür.

Obwohl FamousSparrow zum Zeitpunkt unserer Entdeckung inaktiv zu sein schien, können wir diese Aktivitäten mit großer Sicherheit der Gruppe zuordnen. Die bereitgestellten Nutzdaten sind eindeutig: Es handelt sich um neue Versionen von SparrowDoor, einer Backdoor, die ausschließlich von dieser Gruppe verwendet wird. Die neuen Versionen zeigen erhebliche Verbesserungen in Bezug auf Codequalität und Architektur, lassen sich aber dennoch direkt zu früheren, öffentlich dokumentierten Versionen zurückverfolgen. Die bei diesen Angriffen verwendeten Loader weisen auch erhebliche Codeüberschneidungen mit den zuvor FamousSparrow zugeschriebenen Beispielen auf. Insbesondere verwenden sie denselben reflektierenden Loader-Shellcode wie das Beispiel des Loaders libhost.dll, das in einem Bericht des britischen National Cyber Security Centre (NCSC) vom Februar 2022 beschrieben wird. Auch die Konfiguration hat dasselbe spezifische Format, mit Ausnahme des Verschlüsselungsschlüssels, der stattdessen im Loader und in der Backdoor fest kodiert ist. Außerdem haben wir festgestellt, dass die XOR-Verschlüsselung durch RC4 ersetzt wurde.

Darüber hinaus verwendet die C&C-Server-Kommunikation ein Format, das dem der früheren SparrowDoor-Versionen sehr ähnlich ist.

Im Jahr 2021 schrieben Kaspersky-Forscher über eine Bedrohung, die sie GhostEmperor nennen. Es gibt zwar Ähnlichkeiten mit FamousSparrow, aber wir betrachten sie als separate Gruppen. Im August 2023 stellte Trend Micro fest, dass sich einige TTPs von FamousSparrow mit denen von Earth Estries überschneiden. Wir haben auch Code-Überschneidungen zwischen SparrowDoor und HemiGate dieser Gruppe festgestellt. Mehr dazu steht im Abschnitt Plugins. Wir glauben, dass sich die beiden Gruppen zumindest teilweise überschneiden, aber wir haben nicht genügend Daten, um das genau zu sagen.

Im Jahr 2021 schrieben Kaspersky-Forscher über einen Bedrohungsakteur, den sie als GhostEmperor verfolgen. Trotz einiger infrastruktureller Überschneidungen mit FamousSparrow verfolgen wir sie als separate Gruppen. Im August 2023 stellte Trend Micro fest, dass sich einige TTPs von FamousSparrow mit denen von Earth Estries überschneiden. Wir haben auch Code-Überschneidungen zwischen SparrowDoor und HemiGate dieser Gruppe festgestellt. Diese Überschneidungen werden im Abschnitt Plugins näher erläutert. Wir glauben, dass sich die beiden Gruppen zumindest teilweise überschneiden, aber wir haben nicht genügend Daten, um die Art und das Ausmaß der Verbindung zwischen den beiden Gruppen vollständig zu beurteilen.

FamousSparrow und Salt Typhoon

Im September 2024 veröffentlichte das Wall Street Journal einen Artikel (Paywall), in dem es hieß, dass Internetdienstanbieter in den Vereinigten Staaten durch einen Bedrohungsakteur namens Salt Typhoon kompromittiert wurden. Der Artikel enthält Behauptungen von Microsoft, der zufolge dieser Bedrohungsakteur mit FamousSparrow und GhostEmperor identisch ist. Es ist der erste öffentliche Bericht, der die beiden letztgenannten Gruppen in einen Topf wirft. Wir haben jedoch festgestellt, dass es sich bei GhostEmperor und FamousSparrow um zwei unterschiedliche Gruppen handelt. Es gibt nur wenige Überschneidungen, aber viele Diskrepanzen. Beide nutzten 27.102.113[.]240als Download-Server im Jahr 2021. Beide Gruppen waren auch frühe Ausnutzer der ProxyLogon-Schwachstelle (CVE-2021-26855) und haben einige der gleichen öffentlich verfügbaren Tools verwendet. Aber jeder Bedrohungsakteur hat auch sein eigenes maßgeschneidertes Toolset.

Seit der ersten Veröffentlichung haben die Forscher von Trend Micro die Liste der Gruppen, die mit Salt Typhoon in Verbindung gebracht werden, um Earth Estries erweitert. Microsoft, der den Salt Typhoon-Cluster erstellt hat, hat zum jetzigen Zeitpunkt weder technische Indikatoren noch Details zu den von dem Bedrohungsakteur verwendeten TTPs veröffentlicht und auch keine Erklärung für diese Zuordnung geliefert. Um weitere Unklarheiten zu vermeiden, werden wir die Aktivitäten, die wir direkt mit SparrowDoor in Verbindung bringen, so lange unter dem Namen FamousSparrow weiterverfolgen, bis wir über die notwendigen Informationen verfügen, um diese Zuordnungsansprüche zuverlässig zu bewerten.

Auf der Grundlage unserer Daten und der Analyse der öffentlich zugänglichen Berichte scheint FamousSparrow ein eigenständiges Cluster mit losen Verbindungen zu den anderen in diesem Abschnitt erwähnten Aktivitäten zu sein. Wir sind der Meinung, dass diese Verbindungen besser durch die Existenz einer gemeinsamen dritten Partei, wie z. B. eines digitalen Quartiermeisters, erklärt werden können, als durch die Zusammenfassung all dieser unterschiedlichen Aktivitätscluster zu einem einzigen.

Eine tiefergehende technische Analyse finden Sie im englischsprachigen Original-Blogpost hier.