Ιρανοί χάκερ παρακάμπτουν 34 orgs με νέο κακόβουλο λογισμικό χορηγών
Ένας παράγοντας απειλών έθνους-κράτους γνωστός ως «Charming Kitten» (Phosphorus, TA453, APT35/42) έχει παρατηρηθεί να αναπτύσσει ένα άγνωστο μέχρι τώρα
κακόβουλο λογισμικό
backdoor με το όνομα «Sponsor» εναντίον 34 εταιρειών σε όλο τον κόσμο.
Ένα από τα αξιοσημείωτα χαρακτηριστικά της κερκόπορτας Sponsor είναι ότι κρύβει τα κατά τα άλλα αβλαβή αρχεία διαμόρφωσης στο δίσκο του θύματος, ώστε να μπορούν να αναπτυχθούν διακριτικά από κακόβουλα σενάρια παρτίδας, αποφεύγοντας με επιτυχία τον εντοπισμό.
Η καμπάνια που προσδιορίστηκε από
ESET
Οι ερευνητές διήρκεσαν από τον Μάρτιο του 2021 έως τον Ιούνιο του 2022, στοχεύοντας κυβερνητικούς και υγειονομικούς οργανισμούς και εταιρείες που ασχολούνται με χρηματοοικονομικές υπηρεσίες, μηχανική, μεταποίηση, τεχνολογία, νόμο, τηλεπικοινωνίες και άλλα.
Οι πιο στοχευμένες χώρες στην εκστρατεία που παρατήρησε η ESET είναι το Ισραήλ, η Βραζιλία και τα Ηνωμένα Αραβικά Εμιράτα.
Ορόσημα καμπάνιας
(ESET)
Στόχευση ελαττωμάτων του
Microsoft Exchange
Η ESET αναφέρει ότι το Charming Kitten εκμεταλλεύτηκε κυρίως το CVE-2021-26855, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Microsoft Exchange, για να αποκτήσει αρχική πρόσβαση στα δίκτυα των στόχων του.
Από εκεί, οι χάκερ χρησιμοποίησαν διάφορα εργαλεία ανοιχτού κώδικα που διευκολύνουν τη διείσδυση δεδομένων, την παρακολούθηση του συστήματος και τη διείσδυση στο δίκτυο και επίσης βοηθούν τους εισβολείς να διατηρήσουν την πρόσβαση στους υποβαθμισμένους
υπολογιστές
.
Εργαλεία ανοιχτού κώδικα που χρησιμοποιούνται από τους χάκερ
(ESET)
Πριν από την ανάπτυξη της κερκόπορτας του Χορηγού, του τελικού ωφέλιμου φορτίου που εμφανίζεται σε αυτές τις επιθέσεις, οι χάκερ ρίχνουν αρχεία δέσμης σε συγκεκριμένες διαδρομές αρχείων στον κεντρικό υπολογιστή, ο οποίος γράφει τα απαιτούμενα αρχεία διαμόρφωσης.
Αυτά τα αρχεία ονομάζονται config.txt, node.txt και error.txt για να συνδυάζονται με κανονικά αρχεία και να αποφεύγεται η δημιουργία υποψιών.
Η κερκόπορτα του Χορηγού
Ο Χορηγός είναι μια κερκόπορτα C++ που δημιουργεί μια υπηρεσία κατά την εκκίνηση σύμφωνα με τις οδηγίες του αρχείου διαμόρφωσης, η οποία περιέχει επίσης κρυπτογραφημένες διευθύνσεις διακομιστή εντολών και ελέγχου (C2), διαστήματα επικοινωνίας C2 και το κλειδί αποκρυπτογράφησης RC4.
Το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος όπως την πηγή τροφοδοσίας του λειτουργικού συστήματος (32 ή 64-bit) (μπαταρία ή βύσμα) και τις στέλνει στο C2 μέσω της θύρας 80, λαμβάνοντας ένα αναγνωριστικό κόμβου πίσω, το οποίο εγγράφεται στο αρχείο διαμόρφωσης.
Πληροφορίες συστήματος Ο Χορηγός συλλέγει κατά την εκκίνηση
(ESET)
Στη συνέχεια, η κερκόπορτα του Χορηγού εισέρχεται σε έναν βρόχο όπου έρχεται σε
επα
φή με το C2 σε χρονικά διαστήματα που ορίζονται από το αρχείο διαμόρφωσης για να αποκτήσει εντολές για εκτέλεση στον κεντρικό υπολογιστή.
Ακολουθεί μια λίστα με τις υποστηριζόμενες εντολές:
- Στέλνει το εκτελούμενο αναγνωριστικό διαδικασίας χορηγού.
- Εκτελεί μια καθορισμένη εντολή στον κεντρικό υπολογιστή Sponsor και αναφέρει τα αποτελέσματα στον διακομιστή C2.
- Λαμβάνει και εκτελεί ένα αρχείο από το C2 με διάφορες παραμέτρους και κοινοποιεί την επιτυχία ή τα σφάλματα στο C2.
- Κατεβάζει και εκτελεί ένα αρχείο μέσω του Windows API και αναφέρει στο C2.
- Εκτελεί το Uninstall.bat από τον τρέχοντα κατάλογο.
- Κλείνεται τυχαία πριν επανασυνδεθεί με τον διακομιστή C2.
- Προσαρμόζει το διάστημα check-in στο config.txt και αναφέρει στο C2.
Η ESET έχει δει επίσης μια δεύτερη έκδοση του Sponsor, η οποία διαθέτει βελτιστοποιήσεις κώδικα και ένα στρώμα απόκρυψης που το κάνει να εμφανίζεται ως εργαλείο ενημέρωσης.
Αν και καμία από τις διευθύνσεις IP που χρησιμοποιούνται σε αυτήν την καμπάνια δεν είναι πλέον διαδικτυακή, η ESET μοιράστηκε πλήρεις IOC για να βοηθήσει στην άμυνα έναντι πιθανών μελλοντικών απειλών που επαναχρησιμοποιούν ορισμένα από τα εργαλεία ή την
υποδομή
Charming Kitten που αναπτύχθηκε σε αυτήν την καμπάνια.