Иранские хакеры, известные под ником "Charming Kitten" (Phosphorus, TA453, APT35/42), были замечены в развертывании ранее неизвестной вредоносной программы-бэкдора под названием "Sponsor" против 34 компаний по всему миру.
Одной из особенностей бэкдора Sponsor является то, что он скрывает свои безобидные в остальном конфигурационные файлы на диске жертвы, чтобы затем незаметно развернуть их с помощью вредоносных пакетных скриптов, успешно избегая обнаружения.
Кампания, выявленная исследователями ESET, проходила с марта 2021 по июнь 2022 года и была направлена на правительственные организации и организации здравоохранения, а также на компании, работающие в сфере финансовых услуг, машиностроения, производства, технологий, юриспруденции, телекоммуникаций и т.д.
Странами, наиболее подверженными атакам в рамках этой кампании, по данным ESET, являются Израиль, Бразилия и Объединенные Арабские Эмираты.
Нацеленность на дефекты Microsoft Exchange
По данным ESET, для получения первоначального доступа к сетям своих жертв Charming Kitten в первую очередь использовала CVE-2021-26855, уязвимость удаленного выполнения кода в Microsoft Exchange.
Далее хакеры использовали различные инструменты с открытым исходным кодом, которые способствуют утечке данных, мониторингу системы и проникновению в сеть, а также помогают злоумышленникам сохранять доступ к взломанным компьютерам.
Перед развертыванием бэкдора Sponsor, который является конечной полезной нагрузкой в этих атаках, хакеры сбрасывают пакетные файлы по определенным путям на хост-машину, в которых записываются необходимые конфигурационные файлы.
Эти файлы называются config.txt, node.txt и error.txt, чтобы слиться с обычными файлами и не вызывать подозрений.
Бэкдор Sponsor
Sponsor - это бэкдор на языке C++, который при запуске создает службу в соответствии с указаниями конфигурационного файла, содержащего также зашифрованные адреса командно-контрольных (C2) серверов, интервалы обращения к C2 и ключ расшифровки RC4.
Вредоносная программа собирает системную информацию, такую как сборка ОС (32 или 64-битная), источник питания (батарея или вилка), и отправляет ее на C2 через порт 80, получая в ответ идентификатор узла, который записывается в конфигурационный файл.
Далее бэкдор Sponsor входит в цикл, где через определенные конфигурационным файлом временные интервалы обращается к C2 для получения команд для исполнения на хосте.
Вот список поддерживаемых команд:
- Отправляет идентификатор запущенного процесса Sponsor.
- Выполняет заданную команду на хосте Sponsor и сообщает о результатах на сервер C2.
- Получает и запускает файл от C2 с различными параметрами и сообщает об успехе или ошибках на C2.
- Загружает и запускает файл через Windows API и сообщает об этом в C2.
- Запуск файла Uninstall.bat из текущей директории.
- Произвольно переходит в спящий режим перед повторным соединением с сервером C2.
- Обновляет список C&Cs в config.txt и сообщает об этом на C2.
- Настраивает интервал регистрации в config.txt и сообщает об этом на C2.
В распоряжении ESET оказалась вторая версия Sponsor, отличающаяся оптимизацией кода и маскировочным слоем, который выдает ее за утилиту обновления.
Хотя ни один из IP-адресов, использовавшихся в этой кампании, больше не работает в Интернете, компания ESET предоставила полные IOC, чтобы помочь защититься от возможных будущих угроз, использующих некоторые инструменты или инфраструктуру, развернутую Charming Kitten в этой кампании.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!