‘Sponsor’ Pintu Belakang Baru Anak Kucing Menawan Menargetkan Brasil, Israel, dan UEA
11 Sep 2023Ruang BeritaSpionase Siber / Malware
Aktor ancaman Iran yang dikenal sebagai Charming Kitten telah dikaitkan dengan gelombang serangan baru yang menargetkan berbagai entitas di Brasil, Israel, dan UEA menggunakan pintu belakang yang sebelumnya tidak berdokumen bernama Sponsor.
Perusahaan keamanan siber Slovakia sedang melacak cluster tersebut dengan nama tersebut Bobcat Balistik. Pola viktimologi menunjukkan bahwa kelompok ini terutama menargetkan organisasi pendidikan, pemerintah, dan layanan kesehatan, serta aktivis hak asasi manusia dan jurnalis.
Setidaknya 34 korban Sponsor telah terdeteksi hingga saat ini, dengan penerapan paling awal terjadi pada September 2021.
“Pintu belakang Sponsor menggunakan file konfigurasi yang disimpan di disk,” kata peneliti ESET Adam Burgher dalam laporan baru yang diterbitkan hari ini. “File-file ini diam-diam disebarkan oleh file batch dan sengaja dirancang agar tampak tidak berbahaya, sehingga berusaha menghindari deteksi oleh mesin pemindai.”
Kampanye tersebut, yang disebut Akses Sponsor, melibatkan perolehan akses awal dengan secara oportunistik mengeksploitasi kerentanan yang diketahui di server Microsoft Exchange yang terekspos internet untuk melakukan tindakan pasca-kompromi, serupa dengan nasihat yang dikeluarkan oleh Australia, Inggris, dan Amerika Serikat pada bulan November 2021.
Dalam satu insiden yang dirinci oleh ESET, sebuah perusahaan Israel tak dikenal yang mengoperasikan pasar asuransi dikatakan telah disusupi oleh musuh pada Agustus 2021 untuk mengirimkan muatan tahap berikutnya seperti PowerLess, Plink, dan pasca-eksploitasi sumber terbuka berbasis Go. toolkit bernama Merlin selama beberapa bulan ke depan.
“Agen Merlin mengeksekusi shell terbalik Meterpreter yang memanggil kembali ke yang baru [command-and-control] server,” kata Burgher. “Pada 12 Desember 2021, shell terbalik menjatuhkan file batch, install.bat, dan dalam beberapa menit setelah mengeksekusi file batch, operator Ballistic Bobcat mendorong pintu belakang terbaru mereka, Sponsor.”
Ditulis dalam C++, Sponsor dirancang untuk mengumpulkan informasi host dan memproses instruksi yang diterima dari server jarak jauh, yang hasilnya dikirim kembali ke server. Ini termasuk eksekusi perintah dan file, pengunduhan file, dan memperbarui daftar server yang dikendalikan penyerang.
“Bobcat Balistik terus beroperasi dengan model pemindaian dan eksploitasi, mencari target peluang dengan kerentanan yang belum ditambal di server Microsoft Exchange yang terekspos internet,” kata Burgher. “Grup ini terus menggunakan beragam perangkat sumber terbuka yang dilengkapi dengan beberapa aplikasi khusus, termasuk pintu belakang Sponsornya.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
