Специалисты ESET Research обнаружили кампанию Sponsoring Access, использующую недокументированный бэкдор Ballistic Bobcat, который они назвали Sponsor.
Ballistic Bobcat, также известная как APT35/APT42, Charming Kitten, TA453 или PHOSPHORUS, - это предполагаемая группа постоянных угроз, связанная с Ираном, которая атакует образовательные, правительственные и медицинские организации, а также правозащитников и журналистов. Наиболее активна она в Израиле, на Ближнем Востоке и в США. Примечательно, что во время пандемии она атаковала организации, связанные с COVID-19, в том числе Всемирную организацию здравоохранения и компанию Gilead Pharmaceuticals, а также персонал, занимающийся медицинскими исследованиями.
Бэкдор Sponsor использует конфигурационные файлы, хранящиеся на диске. Эти файлы незаметно разворачиваются с помощью пакетных файлов и намеренно выглядят безобидно, что позволяет избежать обнаружения сканирующими системами. Для получения первоначального доступа группа использовала известные уязвимости в серверах Exchange с доступом в Интернет, сначала тщательно сканируя систему или сеть для выявления потенциальных слабых мест или уязвимостей, а затем нацеливаясь на эти слабые места и используя их в своих целях. На взломанных системах Ballistic Bobcat также продолжает использовать различные инструменты с открытым исходным кодом.
Indicators of Compromise
IPv4
- 162.55.137.20
- 198.144.189.74
- 37.120.222.168
- 5.255.97.172
SHA1
- 098b9a6ce722311553e1d8ac5849ba1dc5834c52
- 1aae62acee3c04a6728f9edc3756fabd6e342252
- 2f3eda9d788a35f4c467b63860e73c3b010529cc
- 50cfb3cf1a0fe5ec2264ace53f96fadfe99cc617
- 519ca93366f1b1d71052c6ce140f5c80ce885181
- 5aee3c957056a8640041abc108d0b8a3d7a02ebd
- 5d60c8507ac9b840a13ffdf19e3315a3e14de66a
- 764eb6ca3752576c182fc19cff3e86c38dd51475
- 99c7b5827df89b4fafc2b565abed97c58a3c65b8
- a200be662cdc0ece2a2c8fc4dbbc8c574d31848a
- c4bc1a5a02f8ac3cf642880dc1fc3b1e46e4da61
- e443dc53284537513c00818392e569c79328f56f
- e52aa118a59502790a4dd6625854bd93c0deaf27
