Ένας εθνικός hacker γνωστός ως “Charming Kitten” (Phosphorus, TA453, APT35/42) έχει παρατηρηθεί να αναπτύσσει ένα προηγουμένως άγνωστο κακόβουλο λογισμικό backdoor με την ονομασία “Sponsor” εναντίον 34 εταιρειών σε όλο τον κόσμο.
Δείτε επίσης: MuddyWatter: Οι Ιρανοί hackers χρησιμοποιούν νέα malware και στοχεύουν κρίσιμες υποδομές
Ένα από τα αξιοσημείωτα χαρακτηριστικά του backdoor Sponsor είναι ότι κρύβει τα κατά τα άλλα αβλαβή αρχεία διαμόρφωσης στο δίσκο του θύματος, ώστε να μπορούν να αναπτυχθούν διακριτικά από κακόβουλα batch scripts, αποφεύγοντας με επιτυχία την ανίχνευση.
Η εκστρατεία που εντοπίστηκε από τους ερευνητές της ESET διήρκεσε από τον Μάρτιο του 2021 έως τον Ιούνιο του 2022, στοχεύοντας κυβερνητικούς οργανισμούς και οργανισμούς υγειονομικής περίθαλψης, καθώς και επιχειρήσεις που δραστηριοποιούνται στις χρηματοοικονομικές υπηρεσίες, τη μηχανική, τη μεταποίηση, την τεχνολογία, το δίκαιο, τις τηλεπικοινωνίες και άλλα.
Οι πιο στοχευμένες χώρες της εκστρατείας που παρατηρεί η ESET είναι το Ισραήλ, η Βραζιλία και τα Ηνωμένα Αραβικά Εμιράτα.
Στόχευση ελαττωμάτων του Microsoft Exchange
Η ESET αναφέρει ότι το Charming Kitten εκμεταλλεύτηκε κυρίως το CVE-2021-26855, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Microsoft Exchange, για να αποκτήσει αρχική πρόσβαση στα δίκτυα των στόχων του.
Από εκεί και πέρα, οι χάκερς χρησιμοποίησαν διάφορα εργαλεία ανοιχτού κώδικα που διευκολύνουν την εξαγωγή δεδομένων, την παρακολούθηση του συστήματος και τη διείσδυση στο δίκτυο και επίσης βοηθούν τους επιτιθέμενους να διατηρήσουν την πρόσβαση στους παραβιασμένους υπολογιστές.
Πριν από την ανάπτυξη του backdoor Sponsor, του τελικού φορτίου που παρατηρείται σε αυτές τις επιθέσεις, οι χάκερς τοποθετούν αρχεία δέσμης σε συγκεκριμένες διαδρομές αρχείων στο μηχάνημα υποδοχής, τα οποία γράφουν τα απαιτούμενα αρχεία ρυθμίσεων.
Αυτά τα αρχεία ονομάζονται config.txt, node.txt και error.txt για να αναμειγνύονται με τα κανονικά αρχεία και να μην κινήσουν υποψίες.
Πρόταση: Το MetaStealer malware στοχεύει Apple macOS σε πρόσφατες επιθέσεις
Το Sponsor backdoor
Το Sponsor είναι ένα backdoor σε C++ που δημιουργεί μια υπηρεσία κατά την εκκίνηση σύμφωνα με τις οδηγίες του αρχείου ρυθμίσεων, το οποίο περιέχει επίσης κρυπτογραφημένες διευθύνσεις server εντολών και ελέγχου (C2), διαστήματα επικοινωνίας C2 και το κλειδί αποκρυπτογράφησης RC4.
Το κακόβουλο λογισμικό συλλέγει πληροφορίες συστήματος όπως η κατασκευή του λειτουργικού συστήματος (32 ή 64-bit), η πηγή ενέργειας (μπαταρία ή πρίζα) και τις στέλνει στο C2 μέσω της θύρας 80, λαμβάνοντας πίσω ένα αναγνωριστικό κόμβου, το οποίο εγγράφεται στο αρχείο ρυθμίσεων.
Στη συνέχεια, το Sponsor backdoor εισέρχεται σε έναν βρόχο όπου επικοινωνεί με το C2 σε χρονικά διαστήματα που ορίζονται από το αρχείο ρυθμίσεων για να αποκτήσει εντολές προς εκτέλεση στον κεντρικό υπολογιστή.
Ακολουθεί μια λίστα με τις υποστηριζόμενες εντολές:
- Στέλνει το αναγνωριστικό διεργασίας του εκτελούμενου χορηγού.
- Εκτελεί μια καθορισμένη εντολή στον host του Sponsor και αναφέρει τα αποτελέσματα στο server C2.
- Λαμβάνει και εκτελεί ένα αρχείο από τον C2 με διάφορες παραμέτρους και κοινοποιεί την επιτυχία ή τα σφάλματα στον C2.
- Λήψη και εκτέλεση ενός αρχείου μέσω του API των Windows και αναφορά στο C2.
- Εκτελεί το Uninstall.bat από τον τρέχοντα κατάλογο.
- Πέφτει σε κατάσταση αναστολής λειτουργίας με τυχαίο τρόπο πριν επανασυνδεθεί με τον server C2.
- Ενημερώνει τη λίστα C&Cs στο αρχείο config.txt και αναφέρει στο C2.
- Προσαρμόζει το διάστημα ελέγχου στο config.txt και αναφέρει στο C2.
Η ESET έχει δει επίσης μια δεύτερη έκδοση του Sponsor, η οποία διαθέτει βελτιστοποιήσεις κώδικα και ένα επίπεδο μεταμφίεσης που το κάνει να εμφανίζεται ως εργαλείο ενημέρωσης.
Παρόλο που καμία από τις διευθύνσεις IP που χρησιμοποιήθηκαν σε αυτή την εκστρατεία δεν είναι πλέον online, η ESET έχει μοιραστεί τα πλήρη IOC για να βοηθήσει στην άμυνα ενάντια σε πιθανές μελλοντικές απειλές που επαναχρησιμοποιούν κάποια από τα εργαλεία ή την υποδομή που χρησιμοποίησε το Charming Kitten σε αυτή την εκστρατεία.
Διαβάστε επίσης: Ο HijackLoader modular malware loader έχει γίνει πολύ δημοφιλής στους χάκερ
πηγή πληροφοριών:bleepingcomputer.com
