APT FamousSparrow attackiert aserbaidschanische Öl- und Gasfirma

Foto des Autors

CyberSecureFox Editorial Team

Nach Angaben der Bitdefender-Forscher hat die chinesische Cyberspionagegruppierung FamousSparrow von Ende Dezember 2025 bis Ende Februar 2026 eine mehrstufige Operation gegen ein nicht namentlich genanntes Öl- und Gasunternehmen in Aserbaidschan durchgeführt. Die Angreifer drangen dreimal über denselben verwundbaren Microsoft Exchange-Server in die Infrastruktur des Opfers ein und setzten dabei jedes Mal neue Varianten von Schadsoftware ein – die Backdoors Deed RAT und TernDoor. Die Kampagne zeigt ein kritisches Problem auf: Eine nicht vollständig beseitigte Incident-Folgenlage ermöglicht es dem Gegner, mehrfach über denselben Einstiegspunkt zurückzukehren. Organisationen des Energiesektors, die Exchange nutzen, müssen den Patch-Status umgehend prüfen und kompromittierte Zugangsdaten rotieren.

Chronologie und technische Anatomie des Angriffs

Wie im Bitdefender-Bericht ausgeführt, bestand die Kampagne aus drei klar abgegrenzten Wellen, die alle denselben Einstiegspunkt ausnutzten – einen verwundbaren Microsoft-Exchange-Server. Vermutlich wurde für den Erstzugang die Exploit-Kette ProxyNotShell verwendet.

Erste Welle – 25. Dezember 2025

Nach dem Erlangen des Zugangs installierten die Angreifer Webshells, um sich in der Infrastruktur festzusetzen, und lieferten anschließend Deed RAT (auch bekannt als Snappybee) aus – eine Backdoor, die als Nachfolger von ShadowPad gilt und von mehreren Gruppen chinesischen Ursprungs eingesetzt wird. Für das Laden von Deed RAT kam eine weiterentwickelte Technik der DLL-Hijacking-/DLL-Substitution unter Nutzung der legitimen ausführbaren Datei von LogMeIn Hamachi zum Einsatz.

Ein zentrales technisches Merkmal: Anders als bei einer standardmäßigen DLL-Ersetzung, bei der die schädliche Bibliothek die legitime einfach ersetzt, überschrieben die Angreifer in diesem Fall zwei konkrete exportierte Funktionen innerhalb der schädlichen Bibliothek. Dadurch entstand ein zweistufiger Trigger, bei dem der Deed-RAT-Loader über den regulären Kontrollfluss der Host-Anwendung aktiviert wurde, was die Erkennung durch Sicherheitslösungen erheblich erschwert.

In dieser Phase wurde zudem eine laterale Bewegung im Netzwerk beobachtet, um den Zugriff auszuweiten und redundante Persistenzpunkte zu schaffen.

Zweite Welle – Ende Januar bis Anfang Februar 2026

Etwa einen Monat später kehrten die Angreifer über denselben Exchange-Server zurück und versuchten, die Backdoor TernDoor zu installieren – Schadsoftware, die zuvor seit 2024 bei Angriffen auf Telekommunikationsinfrastrukturen in Südamerika entdeckt worden war. Für die Auslieferung wurde der Mofu Loader und eine DLL-Substitutionstechnik genutzt. Nach Angaben der Forscher blieb dieser Versuch ohne Erfolg.

Dritte Welle – Ende Februar 2026

In der dritten Welle setzten die Angreifer erneut auf Deed RAT, diesmal jedoch in einer modifizierten Variante. Dieses Artefakt verwendete die Domain sentinelonepro[.]com für die Kommunikation mit dem Command-and-Control-Server – eine typische Methode, um C2-Infrastruktur als legitimes Sicherheitsprodukt von SentinelOne zu tarnen.

Geopolitischer Kontext und Motivation

Die Zielwahl ist kein Zufall. Wie die Bitdefender-Analysten hervorheben, hat sich die Rolle Aserbaidschans bei der Sicherung der europäischen Energieversorgung deutlich verstärkt, nachdem 2024 das russisch-ukrainische Gastransitabkommen ausgelaufen war und es 2026 zu Störungen der Schifffahrt in der Straße von Hormus kam. Ein Angriff auf den Öl- und Gassektor eines Landes, das sich zu einem alternativen Energielieferanten für die EU entwickelt hat, fügt sich in die Logik strategischer Aufklärung ein.

Die Kampagne erweitert die bekannte Opferlandschaft von FamousSparrow auf eine neue Region. Zuvor war diese Gruppierung, auch nachverfolgt als UAT-9244, durch Angriffe auf den Hotelsektor, Regierungsstellen und internationale Organisationen aufgefallen. Es ist zu berücksichtigen, dass die Attribution auf der Einschätzung eines einzelnen Anbieters beruht und nicht durch unabhängige Quellen bestätigt ist.

Bewertung der Auswirkungen

Die Kampagne stellt in erster Linie eine Bedrohung dar für:

  • den Energiesektor Aserbaidschans und der Staaten der Kaspischen Region, die in die Lieferung von Kohlenwasserstoffen nach Europa eingebunden sind
  • Organisationen mit ungepatchten Exchange-Servern, die besonders anfällig für die Ausnutzung von ProxyNotShell sind
  • Telekommunikationsunternehmen – da TernDoor zuvor gegen diesen Sektor eingesetzt wurde

Die dreimalige Rückkehr über denselben Einstiegspunkt weist auf ein systemisches Problem hin: Incident Response ohne vollständige Beseitigung der eigentlichen Ursache schafft eine Illusion von Sicherheit. Jede Welle brachte neue Werkzeuge und zusätzliche Persistenzmechanismen mit sich und erschwerte damit eine vollständige Bereinigung der Umgebung.

Empfehlungen zum Schutz

  1. Patchen von Microsoft Exchange: Stellen Sie sicher, dass alle Sicherheitsupdates installiert sind, die die ProxyNotShell-Schwachstellen (CVE-2022-41040, CVE-2022-41082) und spätere Lücken schließen. Prüfen Sie, ob keine veraltete, nicht mehr unterstützte Exchange-Version eingesetzt wird
  2. Rotation von Zugangsdaten: Nach Feststellung einer Exchange-Kompromittierung müssen alle zugehörigen Konten, einschließlich Service-Accounts, und nicht nur Benutzerkonten zurückgesetzt werden
  3. Suche nach Webshells: Führen Sie ein Audit der Exchange-Verzeichnisse auf verdächtige ASPX-Dateien durch, die nach dem vermuteten Kompromittierungszeitraum aufgetaucht sind
  4. Monitoring von DLL-Substitution: Überwachen Sie das Laden untypischer DLLs durch Prozesse von LogMeIn Hamachi und anderen legitimen Anwendungen. Achten Sie besonders auf überschreibene exportierte Funktionen
  5. Blockierung von IOC: Fügen Sie die Domain sentinelonepro[.]com den DNS- und Proxy-Blacklists hinzu
  6. Umfassende Prüfung nach einem Incident: Beschränken Sie sich bei Anzeichen einer Kompromittierung nicht auf das Entfernen der Schadsoftware – prüfen Sie die Umgebung auf zusätzliche Persistenzpunkte, laterale Bewegung und weitere Backdoors

Diese Kampagne führt eindrücklich vor Augen, dass unvollständige Incident Response schlimmer ist als gar keine: Sie erzeugt ein trügerisches Gefühl der Sicherheit, während der Gegner die Operation fortsetzt. Organisationen des Energiesektors mit Microsoft-Exchange-Servern am Perimeter sollten mit höchster Priorität die Aktualität ihrer Patches überprüfen, nach Indikatoren einer Kompromittierung suchen und sicherstellen, dass ihr Reaktionsprozess die vollständige Rotation von Zugangsdaten und die Beseitigung sämtlicher Persistenzmechanismen umfasst – nicht nur des ursprünglichen Eintrittsvektors.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen