Charming Kitten olarak bilinen İranlı tehdit aktörü, Sponsor adlı daha önce belgelenmemiş bir arka kapıyı kullanarak Brezilya, İsrail ve BAE’deki farklı kuruluşları hedef alan yeni bir saldırı dalgasıyla ilişkilendirildi.
Slovak siber güvenlik firması kümeyi bu isim altında takip ediyor Balistik Bobcat. Mağduriyet kalıpları, grubun öncelikli olarak eğitim, hükümet ve sağlık kuruluşlarının yanı sıra insan hakları aktivistleri ve gazetecileri hedef aldığını gösteriyor.
Bugüne kadar en az 34 Sponsor kurbanı tespit edildi ve ilk dağıtım örnekleri Eylül 2021’e kadar uzanıyor.
ESET araştırmacısı Adam Burgher “Sponsor arka kapısı diskte saklanan yapılandırma dosyalarını kullanıyor” söz konusu bugün yayınlanan yeni bir raporda. “Bu dosyalar toplu iş dosyaları tarafından gizlice dağıtılıyor ve kasıtlı olarak zararsız görünecek şekilde tasarlandı, böylece tarama motorları tarafından tespit edilmekten kaçınılmaya çalışılıyor.”
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Sponsor Erişimi olarak adlandırılan kampanya, Kasım 2021’de Avustralya, Birleşik Krallık ve ABD tarafından yayınlanan bir öneriyi hatırlatarak, uzlaşma sonrası eylemler gerçekleştirmek için internete açık Microsoft Exchange sunucularındaki bilinen güvenlik açıklarından fırsatçı bir şekilde yararlanarak ilk erişimin elde edilmesini içeriyor.
ESET tarafından ayrıntılı olarak açıklanan bir olayda, Ağustos 2021’de bir sigorta pazarını işleten kimliği belirsiz bir İsrail şirketine, PowerLess, Plink ve Go tabanlı açık kaynak kullanım sonrası gibi sonraki aşama yüklerini sunmak için düşman tarafından sızıldığı söyleniyor. Araç seti önümüzdeki birkaç ay içinde Merlin’i aradı.
“Merlin temsilcisi, yeni bir çağrıya geri çağrılan bir Meterpreter ters kabuğunu çalıştırdı. [command-and-control] Burgher şöyle konuştu: “12 Aralık 2021’de ters kabuk, install.bat adlı bir toplu iş dosyasını düşürdü ve toplu iş dosyasını çalıştırdıktan birkaç dakika sonra Balistik Bobcat operatörleri en yeni arka kapıları olan Sponsor’u devreye soktu.”
C++ ile yazılan Sponsor, ana bilgisayar bilgilerini toplamak ve uzak bir sunucudan alınan talimatları işlemek ve sonuçları sunucuya geri göndermek için tasarlanmıştır. Buna komut ve dosya yürütme, dosya indirme ve saldırgan tarafından kontrol edilen sunucuların listesini güncelleme dahildir.
Burgher, “Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki yamalanmamış güvenlik açıkları ile fırsat hedeflerini arayarak tarama ve yararlanma modeli üzerinde çalışmaya devam ediyor” dedi. “Grup, Sponsor arka kapısı da dahil olmak üzere çeşitli özel uygulamalarla desteklenen çeşitli açık kaynaklı araç setini kullanmaya devam ediyor.”