Il noto attore delle minacce iraniano, conosciuto come “Charming Kitten”, è stato collegato a una nuova ondata di attacchi che mirano a diverse entità in Brasile, Israele e negli Emirati Arabi Uniti, utilizzando un backdoor precedentemente non documentato chiamato “Sponsor”. La società di cybersecurity slovacca sta monitorando il cluster sotto il nome di “Ballistic Bobcat”. I modelli di vittimologia suggeriscono che il gruppo mira principalmente a organizzazioni nel settore dell’educazione, del governo e della sanità, oltre ad attivisti per i diritti umani e giornalisti.
Dettagli sull’attacco e sul backdoor “Sponsor”
Finora sono stati individuati almeno 34 vittime del backdoor “Sponsor”, con i primi casi di implementazione che risalgono a settembre 2021. “Il backdoor Sponsor utilizza file di configurazione memorizzati su disco”, ha dichiarato il ricercatore di ESET, Adam Burgher, in un nuovo rapporto pubblicato oggi. “Questi file vengono distribuiti discretamente da file batch e sono progettati per apparire innocui, nel tentativo di evitare il rilevamento da parte dei motori di scansione”.
La campagna, soprannominata “Sponsoring Access”, prevede l’ottenimento di un accesso iniziale sfruttando opportunisticamente le vulnerabilità note nei server Microsoft Exchange esposti su internet per condurre azioni post-compromissione, in linea con un avviso emesso da Australia, Regno Unito e Stati Uniti nel novembre 2021.
In un incidente dettagliato da ESET, una compagnia israeliana non identificata che gestisce un marketplace assicurativo è stata infiltrata dall’avversario nell’agosto 2021 per consegnare payload di prossima fase come “PowerLess”, Plink e un toolkit open-source post-sfruttamento basato su Go chiamato “Merlin” nei mesi successivi.
“Merlin ha eseguito una shell inversa Meterpreter che ha richiamato un nuovo server di comando e controllo”, ha detto Burgher. “Il 12 dicembre 2021, la shell inversa ha rilasciato un file batch, install.bat, e nel giro di pochi minuti dall’esecuzione del file batch, gli operatori di Ballistic Bobcat hanno implementato il loro nuovo backdoor, Sponsor”.
Funzionalità del backdoor “Sponsor”
Scritto in C++, “Sponsor” è progettato per raccogliere informazioni sull’host e processare le istruzioni ricevute da un server remoto, i cui risultati vengono inviati indietro al server. Questo include l’esecuzione di comandi e file, il download di file e l’aggiornamento dell’elenco dei server controllati dall’attaccante.
“Ballistic Bobcat continua a operare su un modello di scansione e sfruttamento, cercando obiettivi di opportunità con vulnerabilità non corrette nei server Microsoft Exchange esposti su internet”, ha affermato Burgher. “Il gruppo continua ad utilizzare un diversificato insieme di strumenti open-source integrato con diverse applicazioni personalizzate, tra cui il suo backdoor Sponsor”.