Cyberangriffe auf die Öl- und Gasindustrie im Südkaukasus verdienen angesichts der zunehmenden Relevanz der Region für die europäische Energieversorgung eine besondere Aufmerksamkeit. Offenbar verlagern Cyberkriminelle mit staatlich-chinesischem Hintergrund – wie etwa „FamousSparrow“ – ihre Aktivitäten in diese Region. Die Bitdefender Labs haben eine gezielte Attacke auf ein aserbaidschanisches Energie-Infrastrukturunternehmen analysiert, die mit großer Wahrscheinlichkeit der Famoussparrow-Gruppe zuzuschreiben ist.
Vor dem Hintergrund der aktuellen Unterbrechungen des Schiffsverkehrs durch die Straße von Hormus steigt die Rolle von Aserbaidschan. Das Land versorgt seit 2026 sechzehn statt vorher vierzehn Länder in Europa mit Gas. Seit Januar 2026 sind auch Abnehmer aus Deutschland sowie Österreich unter den Kunden. Das Exportvolumen nach Europa stieg in den letzten fünf Jahren um rund 56 Prozent.
Im negativen Sinne nachhaltig zielten die Angreifer im Winter 2025/2026 mehrfach auch nach erfolgten Abwehrmaßnahmen auf denselben verwundbaren Microsoft-Exchange-Server. Dabei passten sie ihr Vorgehen an. Ende Dezember 2025 versuchten sie die Windows-Exchange-Server-Schwachstelle ProxyNotShell auszunutzen und den Remote Access-Trojaner (RAT) Deed durch ein Sideloading über den legitimen LogMeIn-Hamachi-VPN-Client zu installieren. Ende Januar/Anfang Februar blockte die Abwehr eine Terndoor-Backdoor, welche die Hacker über einen Mofu-Loader, einen von JPCERT dokumentierten Shellcode-Loader, installieren wollten. Im dritten Versuch von Ende Februar 2026 nutzten die Hacker erneut den RAT Deed in einer modifizierten Konfiguration und versuchten ein weiteres Mal, denselben Einstiegspunkt zu nutzen.
Die Hacker nutzen zudem einen bemerkenswerten DLL-Sideloading -Mechanismus, um automatisierten Analysen zu entkommen. Im Gegensatz zu herkömmlichem DLL-Sideloading, das auf das Ersetzen einer Datei aufbaut, überschrieben die Hacker in diesem Fall zwei exportierte Funktionen innerhalb der bösartigen Library. Ein solcher zweifach angelegter Auslösemechanismus steuert die Ausführung des Deed-RAT-Loaders durch den natürlichen Ablauf der Host-Applikation und trägt dazu bei, das Sideloading besser zu tarnen.
Nach dem initialen Zugang sind Seitwärtsbewegungen mit Remote-Desktop-Protocoll und dem Server-Message-Block (SMB)-Protokoll belegt. Hacker nutzten Zugangsdaten von Domänen-Administratoren. Die Command-and-Control-Infrastruktur imitierte legitime Sicherheitsdienste, um einer Erkennung zu entgehen.
Info: Die vollständige Bitdefender-Analyse findet sich hier: https://businessinsights.bitdefender.com/famoussparrow-apt-targets-azerbaijani-oil-gas-industry.
#Bitdefender
