FamousSparrow APT aktvitása
A Bitdefender kutatása szerint a kínai kötődésű FamousSparrow APT-csoport 2025 vége és 2026 eleje között több hullámban támadott egy azeri olaj- és gázipari vállalatot. A művelet különösen jelentős, mert ez az első nyilvánosan dokumentált eset, amikor a csoport a dél-kaukázusi energetikai szektort célozta, miközben Azerbajdzsán szerepe az európai energiaellátásban jelentősen felértékelődött az orosz tranzitútvonalak csökkenése után.
A támadók a ProxyNotShell sérülékenységláncot használták egy internet felé nyitott Microsoft Exchange szerver kompromittálására. A legfontosabb megállapítás, hogy a csoport három különálló támadási hullámban is ugyanazt a belépési pontot használta újra, annak ellenére, hogy a szervezet több alkalommal próbálta megtisztítani a rendszereket. Ez jól mutatja, hogy önmagában a malware eltávolítása nem elegendő, ha az eredeti sérülékenység vagy a kompromittált hitelesítő adatok megmaradnak.
A kampány során a FamousSparrow két ismert backdoort vetett be, a Deed RAT-ot és a TernDoor malware-t. A Deed RAT különösen érdekes, mert egy továbbfejlesztett DLL sideloading technikával töltötték be. A módszer nem egyszerű DLL-cserére épült, hanem a malware két exportált függvényen keresztül, több lépcsőben aktiválódott, így a legitim alkalmazás normál működéséhez kötötte a kártékony kód végrehajtását. Ez jelentősen megnehezíti a sandboxok és automatizált elemzőrendszerek dolgát.
A második hullámban a támadók a TernDoor backdoort próbálták telepíteni Mofu loader segítségével, majd Impacket és RDP eszközökkel laterális mozgást hajtottak végre a hálózatban. A harmadik hullámban egy módosított Deed RAT jelent meg, amely a sentinelonepro[.]com infrastruktúrát használta C2 kommunikációra, legitim biztonsági forgalomnak álcázva magát.
A Bitdefender közepes-magas bizonyossággal a FamousSparrow csoportnak tulajdonítja a műveletet, amely átfedéseket mutat az Earth Estries és Salt Typhoon ökoszisztémával. A kutatás szerint a kampány klasszikus hosszú távú kiberkémkedési művelet volt, amelynek célja tartós hozzáférések kiépítése stratégiai energetikai infrastruktúrákban.
