El actor de amenazas iraní conocido como Charming Kitten ha sido vinculado a una nueva ola de ataques dirigidos a diferentes entidades en Brasil, Israel y los Emiratos Árabes Unidos utilizando una puerta trasera previamente indocumentada llamada Sponsor.
La empresa eslovaca de ciberseguridad está rastreando el clúster bajo el nombre Lince balístico. Los patrones de victimología sugieren que el grupo destaca principalmente a organizaciones educativas, gubernamentales y de atención médica, así como a activistas de derechos humanos y periodistas.
Hasta la fecha se han detectado al menos 34 víctimas de Sponsor, y los primeros casos de despliegue se remontan a septiembre de 2021.
«La puerta trasera del patrocinador utiliza archivos de configuración almacenados en el disco», investigador de ESET Adam Burgher dicho en un nuevo informe publicado hoy. «Estos archivos se implementan discretamente mediante archivos por lotes y están diseñados deliberadamente para parecer inofensivos, intentando así evadir la detección de los motores de escaneo».
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
La campaña, denominada Sponsoring Access, implica obtener acceso inicial mediante la explotación oportunista de vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a Internet para llevar a cabo acciones posteriores al compromiso, haciéndose eco de un aviso emitido por Australia, el Reino Unido y los EE. UU. en noviembre de 2021.
En un incidente detallado por ESET, se dice que una empresa israelí no identificada que opera un mercado de seguros fue infiltrada por el adversario en agosto de 2021 para entregar cargas útiles de la siguiente etapa, como PowerLess, Plink y una post-explotación de código abierto basada en Go. kit de herramientas llamado Merlin durante los próximos meses.
«El agente Merlín ejecutó un shell inverso de Meterpreter que volvió a llamar a un nuevo [command-and-control] servidor», dijo Burgher. «El 12 de diciembre de 2021, el shell inverso eliminó un archivo por lotes, install.bat, y a los pocos minutos de ejecutar el archivo por lotes, los operadores de Ballistic Bobcat impulsaron su puerta trasera más nueva, Sponsor».
Escrito en C++, Sponsor está diseñado para recopilar información del host y procesar instrucciones recibidas de un servidor remoto, cuyos resultados se envían de vuelta al servidor. Esto incluye la ejecución de comandos y archivos, la descarga de archivos y la actualización de la lista de servidores controlados por el atacante.
«Ballistic Bobcat continúa operando en un modelo de escaneo y explotación, buscando objetivos de oportunidad con vulnerabilidades sin parches en servidores Microsoft Exchange expuestos a Internet», dijo Burgher. «El grupo continúa utilizando un conjunto diverso de herramientas de código abierto complementado con varias aplicaciones personalizadas, incluida su puerta trasera Sponsor».