Um ator de ameaças a estados-nações conhecido como 'Charming Kitten' (Fosforo, TA453, APT35/42) foi observado implantando um malware de backdoor anteriormente desconhecido chamado 'Sponso' contra 34 empresas ao redor do globo.
Uma das características notáveis do backdoor Sponso é que ele esconde seus arquivos de configuração inócuos no disco da vítima para que possam ser discretamente implantados por scripts maliciosos em lotes, evitando com sucesso a detecção.
A campanha identificada por pesquisadores da ESET ocorreu entre março de 2021 e junho de 2022, visando organizações governamentais e de saúde e empresas envolvidas em serviços financeiros, engenharia, manufatura, tecnologia, direito, telecomunicações e mais.
Os países mais visados na campanha observada pela ESET são Israel, Brasil e Emirados Árabes Unidos.
A ESET relata que o Charming Kitten explorou principalmente a
CVE-2021-26855
, uma vulnerabilidade de execução de código remoto do Microsoft Exchange, para obter acesso inicial às redes de seus alvos.
De lá, os hackers usaram várias ferramentas de código aberto que facilitam a exfiltração de dados, monitoramento do sistema e infiltração de rede e também ajudam os atacantes a manter o acesso aos computadores comprometidos.
Antes de implantar o backdoor Sponso, a carga útil final vista nesses ataques, os hackers soltam arquivos em lotes em caminhos de arquivos específicos na máquina host, que escreve os arquivos de configuração necessários.
Esses arquivos são nomeados como config.txt, node.txt e error.txt para se misturar com arquivos regulares e evitar suspeitas.
Sponso é um backdoor C++ que cria um serviço ao ser lançado conforme instruído pelo arquivo de configuração, que também contém endereços de servidores de comando e controle (C2) criptografados, intervalos de contato da C2 e a chave de decriptografia RC4.
O malware coleta informações do sistema como a versão do OS (32 ou 64 bits), fonte de alimentação (bateria ou plugue) e as envia para a C2 via porta 80, recebendo de volta um ID de nó, que é escrito no arquivo de configuração.
Em seguida, o backdoor Sponso entra em um loop onde contata a C2 em intervalos de tempo definidos pelo arquivo de configuração para adquirir comandos para execução no host.
Aqui está uma lista dos comandos suportados:
Envia o ID do processo Sponso em execução.
Executa um comando especificado no host Sponso e relata os resultados ao servidor C2.
Recebe e executa um arquivo da C2 com vários parâmetros e comunica os sucessos ou erros à C2.
Baixa e executa um arquivo via API do Windows e relata à C2.
Executa o Uninstall.bat do diretório atual.
Dorme aleatoriamente antes de se reconectar ao servidor C2.
Atualiza a lista de C&Cs em config.txt e relata à C2.
Ajusta o intervalo de check-in em config.txt e relata à C2.
A ESET também viu uma segunda versão do Sponsor, que apresenta otimizações de código e uma camada de disfarce que o faz parecer uma ferramenta de atualização.
Embora nenhum dos endereços IP usados nesta campanha esteja mais online, a ESET compartilhou IOCs completos para ajudar a se defender contra possíveis futuras ameaças que reutilizem algumas das ferramentas ou infraestrutura que o Charming Kitten implantou nessa campanha.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...