Израиль, Бразилия, ОАЭ: на кого нацелились хакеры с новым вредоносом «Sponsor»?

Исследователи из компании ESET обнаружили новую кампанию хакерской группы Charming Kitten (Phosphorus, TA453, APT35, APT42). В ходе кампании, которая длилась с марта 2021 по июнь 2022 года, было атаковано 34 организации в различных странах. Хакеры использовали ранее неизвестное вредоносное ПО под названием «Sponsor».

Особенности вредоносного кода Sponsor

Sponsor — это бэкдор , написанный на C++, который после запуска создает службу, управляемую конфигурационным файлом. Файл содержит зашифрованные адреса С2-серверов, интервалы связи с ними и ключ для расшифровки RC4. Одной из заметных особенностей является способность Sponsor скрывать свои конфигурационные файлы на диске жертвы, что позволяет ему успешно уклоняться от обнаружения.

Цели и методы атаки

Среди основных целей — организации в сферах госуправления, здравоохранения, финансовых услуг, инжиниринга, производства, технологий, юриспруденции и телекоммуникаций. Наиболее активно атаковались организации в Израиле, Бразилии и ОАЭ.

Для первоначального доступа к сетям целей хакеры эксплуатировали уязвимость CVE-2021-26855 в Microsoft Exchange. Затем для дальнейшего проникновения и эксфильтрации данных использовались различные открытые инструменты, которые облегчают кражу данных, мониторинг системы и проникновение в сеть, а также помогают злоумышленникам поддерживать доступ к взломанным компьютерам.

Инструменты с открытым исходным кодом, используемые в кампании Charming Kitten

Перед установкой Sponsor хакеры размещали на компьютере жертвы пакеты файлов, которые записывали необходимые конфигурационные файлы с названиями вроде config.txt, node.txt и error.txt, чтобы смешать их с обычными файлами и не вызывать подозрений.

Поддерживаемые команды и версии

Sponsor способен выполнять ряд команд, включая отправку идентификатора процесса, выполнение определенных команд на хосте и обмен данными с сервером управления. Эксперты ESET также обнаружили вторую версию Sponsor с дополнительным слоем маскировки, которая делает версию похожей на стандартный инструмент обновления.

Профилактика и меры безопасности

Хотя IP-адреса, использованные в этой кампании, уже не активны, ESET поделилась полными индикаторами компрометации (Indicator of Compromise, IoC ), чтобы помочь защититься от возможных будущих угроз, которые могут использовать некоторые из инструментов или инфраструктуры, задействованные в этой кампании. Обнаруженная кампания является напоминанием о необходимости постоянного мониторинга и обновления систем безопасности, особенно для организаций, работающих в критически важных сферах.