O ator de ameaças iraniano conhecido como Charming Kitten tem sido associado a uma nova onda de ataques visando diferentes entidades no Brasil, Israel e Emirados Árabes Unidos, usando um backdoor anteriormente não documentado chamado Sponsor.
A empresa de cibersegurança eslovaca está rastreando o grupo sob o nome Ballistic Bobcat.
Padrões de vitimologia sugerem que o grupo tem como alvo principalmente organizações de educação, governo e saúde, bem como ativistas de direitos humanos e jornalistas.
Até o momento, pelo menos 34 vítimas do Sponsor foram detectadas, com as primeiras instâncias de implantação datando de setembro de 2021.
"O backdoor Sponsor usa arquivos de configuração armazenados no disco," disse o pesquisador da ESET Adam Burgher em um novo relatório publicado hoje.
"Esses arquivos são implantados discretamente por arquivos batch e deliberadamente criados para parecerem inofensivos, tentando assim evadir a detecção por motores de varredura."
A campanha, apelidada de Sponsoring Access, envolve a obtenção de acesso inicial explorando oportunisticamente vulnerabilidades conhecidas em servidores Microsoft Exchange expostos na internet para conduzir ações pós-comprometimento, ecoando um aviso emitido pela Austrália, Reino Unido e EUA em novembro de 2021.
Em um incidente detalhado pela ESET, uma empresa israelense não identificada, que opera um mercado de seguros, teria sido infiltrada pelo adversário em agosto de 2021 para entregar cargas úteis da próxima fase como PowerLess, Plink e um kit de ferramentas de pós-exploração de código-aberto baseado no Go chamado Merlin nos meses seguintes.
"O agente Merlin executou um shell reverso Meterpreter que ligou de volta para um novo servidor de [comando e controle]", disse Burgher.
"Em 12 de dezembro de 2021, o shell reverso descartou um arquivo de lote, install.bat, e em poucos minutos de executar o arquivo de lote, os operadores do Ballistic Bobcat lançaram seu mais novo backdoor, o Sponsor."
Escrito em C++, o Sponsor é projetado para coletar informações do host e processar instruções recebidas de um servidor remoto, os resultados dos quais são enviados de volta para o servidor.
Isso inclui execução de comando e arquivo, download de arquivo e atualização dos servidores controlados pelo atacante.
"O Ballistic Bobcat continua operando num modelo de varredura e exploração, buscando alvos de oportunidade com vulnerabilidades não corrigidas em servidores Microsoft Exchange expostos na internet", disse Burgher.
"O grupo continua a usar um conjunto diversificado de ferramentas de código aberto complementado por vários aplicativos personalizados, incluindo seu backdoor Sponsor."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...