FamousSparrow ist eine weitere APT-Gruppe, die Anfang März 2021 Zugriff auf dieSicherheitslücke ProxyLogon zur Remotecodeausführung hatte. Die Hacker nutztenin der Vergangenheit bereits bekannte Schwachstellen in Serveranwendungen wieSharePoint und Oracle Opera aus.Im aktuellen Fall befinden sich die Opfer in Europa (Frankreich, Litauen,Vereinigtes Königreich), im Nahen Osten (Israel, Saudi-Arabien), in Nord- undSüdamerika (Brasilien, Kanada und Guatemala), Asien (Taiwan) und Afrika (BurkinaFaso). Die Auswahl der Ziele lässt vermuten, dass FamousSparrow vorrangigCyberspionage betreibt.APT-Gruppe nutzt Microsoft Exchange Sicherheitslücken ausLaut den ESET-Forschern begann die Hacker-Gruppe am 03.03.2021, also exakt einenTag nach der Veröffentlichung des Patches, die Schwachstellen auszunutzen. ZumEinsatz kamen dabei die benutzerdefinierte Backdoor SparrowDoor sowie zweiVarianten von Mimikatz. Letztere wird auch von der berüchtigten Winnti Groupeingesetzt."Dieser Spionageangriff zeigt einmal mehr, wie wichtig das zeitnahe Schließenvon Sicherheitslücken ist. Sollte dies - aus welchen Gründen auch immer - nichtmöglich sein, sollte man betroffene Geräte nicht mit dem Internet verbinden",empfiehlt ESET Forscher Mathieu Tartare, der FamousSparrow mit seinem KollegenTahseen Bin Taj analysierte.Möglicherweise arbeitet die FamousSparrow dabei nicht allein. Einige Spurenweisen auf eine Verbindung zu SparklingGoblin und DRBControl hin. In einem Fallsetzten die Angreifer eine Variante von Motnug ein, die ein von SparklingGoblinverwendeter Loader ist. In einem anderen Fall fanden die EXET-Experten auf einemvon FamousSparrow kompromittierten Rechner ein laufendes Metasploit mitcdn.kkxx888666[.]com als C&C-Server. Diese Domäne ist mit einer Gruppe namensDRDControl verbunden.Detaillierte technische Analysen stehen Ihnen auf dem ESET Blog>>WeliveSecurity<< zur Verfügung: https://ots.de/pgI6QLPressekontakt:ESET Deutschland GmbHThorsten UrbanskiHead of Communication & PR DACH+49 (0)3641 3114-261mailto:thorsten.urbanski@eset.deMichael KlattePR Manager DACH+49 (0)3641 3114-257mailto:Michael.klatte@eset.deChristian LuegPR Manager DACH+49 (0)3641 3114-269mailto:christian.lueg@eset.deFolgen Sie ESET:http://www.ESET.deESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, DeutschlandWeiteres Material: http://presseportal.de/pm/71571/5027774OTS: ESET Deutschland GmbH