Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bitdefender Labs identifizierte einen mehrstufigen Einbruch, der zwischen Dezember 2025 und Februar 2026 ein aserbaidschanisches Öl- und Gasunternehmen ins Visier nahm. Die Angreifer nutzten die ProxyShell- und ProxyNotShell-Ketten, um Microsoft Exchange zu kompromittieren, und setzten dann die Deed RAT und Terndoor Backdoors durch fortgeschrittene DLL-Sideloading-Techniken ein, während sie wiederholt denselben anfänglichen Zugriffspunkt nutzten. Bitdefender schreibt die Aktivität mit mittlerer bis hoher Zuversicht der China-verbundenen APT-Gruppe FamousSparrow zu. Die Kampagne zeigte auch fortgeschrittene Umgehungsmethoden, darunter API-Hooking und gestufte Loader-Aktivierung.
Untersuchung
Forscher dokumentierten drei unterschiedliche Aktivitätswellen. Die erste beinhaltete die Bereitstellung einer Web-Shell auf Exchange, gefolgt von der Lieferung von Deed RAT mithilfe eines Dienstes, der LogMeIn Hamachi ähnelte. Die zweite Welle versuchte, Terndoor durch eine USOShared- und treiberbasierte Kette bereitzustellen, während die letzte Welle mit aktualisierten Konfigurationsdaten zu Deed RAT zurückkehrte. Die technische Analyse deckte auf benutzerdefinierte Verschlüsselung, RC4- und AES-CBC-Entschlüsselungsroutinen, LZNT1- und Deflate-Kompression sowie eine benutzerdefinierte PE-ähnliche Header-Struktur. Die Angreifer bewegten sich später lateral über RDP mithilfe eines Domänenadministrator-Kontos und nutzten SMB-Tools aus dem Impacket-Framework.
Abschwächung
Organisationen sollten Exchange-Server unverzüglich patchen und alle bekannten ProxyShell- und ProxyNotShell-Expositionen beheben. Netzwerksegmentierung kann helfen, die Auswirkungen von Anmeldeinformationsmissbrauch und lateraler Bewegung zu reduzieren. Verteidiger sollten auch Verhaltenserkennungen für DLL-Sideloading, API-Hooking und verdächtige Diensterstellung einsetzen. Strikte Kontrollen über privilegierten RDP-Zugang und SMB-basierte Remote-Ausführungstools werden ebenfalls empfohlen.
Reaktion
Sicherheitsteams sollten auf die Erstellung von Web-Shell-Dateien in IIS-Verzeichnissen, unerwartete Windows-Dienste namens LogMeIn Hamachi und Treiberdienstregistrierungen, die von benutzerbeschreibbaren Pfaden aus gestartet werden, alarmieren. HTTPS-Verkehr zu ungewöhnlichen Domänen wie virusblocker.it.com and sentinelonepro.com sollte mit anderen verdächtigen Aktivitäten korreliert werden. Ermittler sollten auch jeden Prozess untersuchen, der StartServiceCtrlDispatcherW patcht oder verdächtige DLLs neben legitimen Binärdateien lädt.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Knotendefinitionen initial_access["<b>Initialer Zugriff</b> – <b>T1210 Ausnutzung von Remote-Services</b><br/><b>Technik-ID</b>: T1210<br/><b>Beschreibung</b>: Verwundbare Remote-Services wie Exchange-Server mit ProxyShell oder ProxyNotShell ausnutzen."] class initial_access action persistence_webshell["<b>Persistenz</b> – <b>T1505.003 Web-Shell</b><br/><b>Technik-ID</b>: T1505.003<br/><b>Beschreibung</b>: Eine Web-Shell auf kompromittierten Server für dauerhaften Zugriff bereitstellen."] class persistence_webshell action malicious_service["<b>Persistenz</b> – <b>T1569 Systemdienste</b><br/><b>Technik-ID</b>: T1569<br/><b>Beschreibung</b>: Einen bösartigen Dienst erstellen, der als LogMeIn Hamachi tarnt, um Persistenz zu gewährleisten."] class malicious_service action tool_logmein["<b>Tool</b> – <b>Name</b>: LogMeIn Hamachi<br/><b>Beschreibung</b>: Legitimer VPN-Dienst verwendet als Tarnung."] class tool_logmein tool execution_proxy["<b>Ausführung</b> – <b>T1218 Signierte Binär-Proxyausführung</b><br/><b>Technik-ID</b>: T1218<br/><b>Beschreibung</b>: Legitime Systembinärdatei verwenden, um bösartigen Code zu starten."] class execution_proxy action execution_masquerade["<b>Ausführung</b> – <b>T1036 Maskierung</b><br/><b>Technik-ID</b>: T1036<br/><b>Beschreibung</b>: Bösartige ausführbare Datei als LMIGuardianSvc.exe umbenennen, um unauffällig zu bleiben."] class execution_masquerade action malware_lmi["<b>Schadsoftware</b> – <b>Name</b>: LMIGuardianSvc.exe<br/><b>Beschreibung</b>: Lädt bösartige DLL nach Ausführung."] class malware_lmi malware defense_reflective["<b>Abwehrumgehung</b> – <b>T1620 Reflektives Code-Laden</b><br/><b>Technik-ID</b>: T1620<br/><b>Beschreibung</b>: Code in den Speicher laden, ohne die Festplatte zu berühren."] class defense_reflective action defense_processhollow["<b>Abwehrumgehung</b> – <b>T1055.012 Prozess Hollowing</b><br/><b>Technik-ID</b>: T1055.012<br/><b>Beschreibung</b>: Inhalt des legitimen Prozessespeichers durch bösartigen Code ersetzen."] class defense_processhollow action defense_threadhijack["<b>Abwehrumgehung</b> – <b>T1055.003 Thread-Hijacking</b><br/><b>Technik-ID</b>: T1055.003<br/><b>Beschreibung</b>: Threads eines bereits laufenden Prozesses kapern."] class defense_threadhijack action defense_hide["<b>Abwehrumgehung</b> – <b>T1564.010 Artefakte verstecken</b><br/><b>Technik-ID</b>: T1564.010<br/><b>Beschreibung</b>: Bösartige Komponenten vor Erkennung verbergen."] class defense_hide action payload_decrypt["<b>Payload-Verarbeitung</b> – <b>T1560.003 Archiv-Dekompression</b><br/><b>Technik-ID</b>: T1560.003<br/><b>Beschreibung</b>: Payload vor der Ausführung entschlüsseln und dekomprimieren."] class payload_decrypt action lateral_movement["<b>Laterale Bewegung</b> – <b>T1078 Gültige Konten</b><br/><b>Technik-ID</b>: T1078<br/><b>Beschreibung</b>: Gestohlene Anmeldeinformationen verwenden, um lateral über RDP und SMB-Adminfreigaben zu bewegen."] class lateral_movement action tool_impacket["<b>Tool</b> – <b>Name</b>: Impacket<br/><b>Beschreibung</b>: Python-Bibliothek für Netzwerkprotokolle, die für Pivoting verwendet wird."] class tool_impacket tool c2_https["<b>Befehl und Kontrolle</b> – <b>T1071.001 Web-Protokolle HTTPS</b><br/><b>Technik-ID</b>: T1071.001<br/><b>Beschreibung</b>: Kommunikation mit C2-Server über verschlüsseltes HTTPS."] class c2_https action c2_contentinject["<b>Befehl und Kontrolle</b> – <b>T1659 Content Injection</b><br/><b>Technik-ID</b>: T1659<br/><b>Beschreibung</b>: Bösartige Inhalte in legitime HTTP-Antworten injizieren."] class c2_contentinject action impact_kernel["<b>Auswirkung</b> – <b>T1014 Rootkit</b><br/><b>Technik-ID</b>: T1014<br/><b>Beschreibung</b>: Versuch, den Kernel-Treiber Terndoor für tiefgehende Persistenz zu installieren."] class impact_kernel action %% Verbindungen initial_access –>|führt zu| persistence_webshell persistence_webshell –>|führt zu| malicious_service malicious_service –>|verwendet| tool_logmein malicious_service –>|führt zu| execution_proxy execution_proxy –>|verwendet| execution_masquerade execution_masquerade –>|lädt| malware_lmi malware_lmi –>|führt durch| defense_reflective defense_reflective –>|führt durch| defense_processhollow defense_processhollow –>|führt durch| defense_threadhijack defense_threadhijack –>|führt durch| defense_hide defense_hide –>|ermöglicht| payload_decrypt payload_decrypt –>|ermöglicht| lateral_movement lateral_movement –>|verwendet| tool_impacket lateral_movement –>|führt zu| c2_https c2_https –>|verwendet| c2_contentinject c2_contentinject –>|ermöglicht| impact_kernel "
Angriffsfluss
Erkennungen
Mögliche Ausbeutung von Webserver oder WebApp [Windows] (über cmdline)
Ansehen
Alternative Fernzugriffs-/Verwaltungssoftware (über process_creation)
Ansehen
Möglicher IP-Lookup-Domain-Kommunikationsversuch (via DNS)
Ansehen
IOCs (HashMd5) zum Erkennen: FamousSparrow APT zielt auf die aserbaidschanische Öl- und Gasindustrie ab
Ansehen
Erkennung der Deed RAT Command-and-Control-Kommunikation [Windows-Netzwerkverbindung]
Ansehen
DLL-Sideloading durch FamousSparrow APT in der aserbaidschanischen Öl- und Gasindustrie [Windows-Datei-Ereignis]
Ansehen
## Simulationsdurchführung
Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.
-
Angriffserzählung & Befehle:
Ein Gegner, der die Deed RAT betreibt, will einen beständigen C2-Kanal etablieren, um Daten zu exfiltrieren und Kommandos zu empfangen. Mithilfe von PowerShell (T1059.001) initiiert der RAT eine HTTPS GET-Anfrage an den hartcodierten bösartigen Host
sentinelonepro.comauf Port 443 (T1071.001). Da die Verbindung ausgehend ist, passiert sie die Windows-Firewall und wird von Sysmon alsNetzwerkverbindungsEreignis erfasst. Die Erkennungsregel sollte bei diesem Ereignis auslösen. -
Regressionstest-Skript:
<# Deed RAT C2-Simulation – erstellt eine ausgehende HTTPS-Verbindung zum bekannten bösartigen Host (sentinelonepro.com) auf Port 443. Dieses Skript ist sicher für Tests in einem isolierten Labor; die Domain löst sich in eine nicht routbare IP (127.0.0.1) auf, um den Kontakt mit echter C2-Infrastruktur zu vermeiden. #> # DNS-Auflösung zur Sicherheit überschreiben (optional) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Führe die HTTPS-Anfrage aus (simulierter C2-Verkehr) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "C2-Anfrage abgeschlossen, Statuscode:" $response.StatusCode } catch { Write-Warning "C2-Anfrage fehlgeschlagen (erwartet in isoliertem Labor): $_" } -
Bereinigungskommandos:
# Entferne temporären Hosts-Eintrag $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Lösche alle Restdateien Remove-Item -Path "$env:TEMPbeispiel.html" -ErrorAction SilentlyContinue