L’acteur iranien connu sous le nom de Charming Kitten a été associé à une nouvelle vague d’attaques ciblant différentes entités au Brésil, en Israël et aux Émirats arabes unis, à l’aide d’une porte dérobée jusqu’alors non documentée nommée Sponsor.
La société slovaque de cybersécurité suit le cluster sous le nom Bobcat balistique. Les modèles de victimologie suggèrent que le groupe cible principalement les organisations éducatives, gouvernementales et de santé, ainsi que les militants des droits humains et les journalistes.
Au moins 34 victimes du sponsor ont été détectées à ce jour, les premiers cas de déploiement remontant à septembre 2021.
« La porte dérobée du sponsor utilise des fichiers de configuration stockés sur disque », Adam Burgher, chercheur chez ESET. dit dans un nouveau rapport publié aujourd’hui. « Ces fichiers sont discrètement déployés par lots et délibérément conçus pour paraître inoffensifs, tentant ainsi d’échapper à la détection par les moteurs d’analyse. »
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
La campagne, baptisée Sponsoring Access, consiste à obtenir un accès initial en exploitant de manière opportuniste les vulnérabilités connues des serveurs Microsoft Exchange exposés à Internet pour mener des actions post-compromise, faisant écho à un avis publié par l’Australie, le Royaume-Uni et les États-Unis en novembre 2021.
Dans un incident détaillé par ESET, une société israélienne non identifiée exploitant un marché d’assurance aurait été infiltrée par l’adversaire en août 2021 pour fournir des charges utiles de prochaine étape telles que PowerLess, Plink et une post-exploitation open source basée sur Go. boîte à outils appelée Merlin au cours des prochains mois.
« L’agent Merlin a exécuté un shell inversé Meterpreter qui a rappelé un nouveau [command-and-control] serveur », a déclaré Burgher. « Le 12 décembre 2021, le shell inversé a supprimé un fichier de commandes, install.bat, et quelques minutes après l’exécution du fichier de commandes, les opérateurs de Ballistic Bobcat ont poussé leur nouvelle porte dérobée, Sponsor. »
Écrit en C++, Sponsor est conçu pour collecter des informations sur l’hôte et traiter les instructions reçues d’un serveur distant, dont les résultats sont renvoyés au serveur. Cela inclut l’exécution de commandes et de fichiers, le téléchargement de fichiers et la mise à jour de la liste des serveurs contrôlés par les attaquants.
« Ballistic Bobcat continue de fonctionner selon un modèle d’analyse et d’exploitation, à la recherche de cibles d’opportunité présentant des vulnérabilités non corrigées dans les serveurs Microsoft Exchange exposés à Internet », a déclaré Burgher. « Le groupe continue d’utiliser un ensemble d’outils open source diversifié complété par plusieurs applications personnalisées, y compris sa porte dérobée Sponsor. »