Carding
Professional
- Messages
- 2,870
- Reaction score
- 2,493
- Points
- 113
Иранская угроза актер известен как очаровательный котенок был связан с новой волной нападений на различные объекты в Бразилии, Израиля и ОАЭ используя ранее незарегистрированных бэкдор имени спонсора.
Словацкая фирма по кибербезопасности отслеживает кластер под названием Ballistic Bobcat. Виктимологические модели предполагают, что группа в первую очередь выделяет образовательные, правительственные и медицинские организации, а также правозащитников и журналистов.
На сегодняшний день обнаружено по меньшей мере 34 жертвы "Спонсора", причем самые ранние случаи внедрения относятся к сентябрю 2021 года.
"Бэкдор-спонсор использует файлы конфигурации, хранящиеся на диске", - сказал исследователь ESET Адам Берджер в новом отчете, опубликованном сегодня. "Эти файлы незаметно развертываются с помощью пакетных файлов и намеренно создаются так, чтобы казаться безобидными, тем самым пытаясь избежать обнаружения сканирующими системами".
Кампания, получившая название Sponsoring Access, предполагает получение первоначального доступа путем оппортунистического использования известных уязвимостей в открытых для доступа в Интернет серверах Microsoft Exchange для проведения действий после компрометации, повторяя рекомендации, выпущенные Австралией, Великобританией и США в ноябре 2021 года.
В одном из инцидентов, подробно описанных ESET, сообщается, что в августе 2021 года злоумышленник проник в неопознанную израильскую компанию, управляющую рынком страхования, для доставки полезных продуктов следующего этапа, таких как PowerLess, Plink и инструментарий для последующей эксплуатации с открытым исходным кодом на базе Go под названием Merlin, в течение следующих нескольких месяцев.
"Агент Merlin запустил обратную оболочку Meterpreter, которая перезвонила на новый сервер [command-and-control]", - сказал Бюргер. "12 декабря 2021 года обратная оболочка сбросила пакетный файл install.bat, и через несколько минут после выполнения пакетного файла операторы Ballistic Bobcat запустили свой новейший бэкдор Sponsor".
Написанный на C ++, Sponsor предназначен для сбора информации о хосте и обработки инструкций, полученных с удаленного сервера, результаты выполнения которых отправляются обратно на сервер. Сюда входит выполнение команд и файлов, загрузка файлов и обновление списка серверов, контролируемых злоумышленниками.
"Ballistic Bobcat продолжает работать по модели сканирования и эксплойта, выискивая подходящие объекты с незащищенными уязвимостями на открытых для доступа в Интернет серверах Microsoft Exchange", - сказал Бюргер. "Группа продолжает использовать разнообразный набор инструментов с открытым исходным кодом, дополненный несколькими пользовательскими приложениями, включая бэкдор спонсора".
Словацкая фирма по кибербезопасности отслеживает кластер под названием Ballistic Bobcat. Виктимологические модели предполагают, что группа в первую очередь выделяет образовательные, правительственные и медицинские организации, а также правозащитников и журналистов.
На сегодняшний день обнаружено по меньшей мере 34 жертвы "Спонсора", причем самые ранние случаи внедрения относятся к сентябрю 2021 года.
"Бэкдор-спонсор использует файлы конфигурации, хранящиеся на диске", - сказал исследователь ESET Адам Берджер в новом отчете, опубликованном сегодня. "Эти файлы незаметно развертываются с помощью пакетных файлов и намеренно создаются так, чтобы казаться безобидными, тем самым пытаясь избежать обнаружения сканирующими системами".
Кампания, получившая название Sponsoring Access, предполагает получение первоначального доступа путем оппортунистического использования известных уязвимостей в открытых для доступа в Интернет серверах Microsoft Exchange для проведения действий после компрометации, повторяя рекомендации, выпущенные Австралией, Великобританией и США в ноябре 2021 года.
В одном из инцидентов, подробно описанных ESET, сообщается, что в августе 2021 года злоумышленник проник в неопознанную израильскую компанию, управляющую рынком страхования, для доставки полезных продуктов следующего этапа, таких как PowerLess, Plink и инструментарий для последующей эксплуатации с открытым исходным кодом на базе Go под названием Merlin, в течение следующих нескольких месяцев.
"Агент Merlin запустил обратную оболочку Meterpreter, которая перезвонила на новый сервер [command-and-control]", - сказал Бюргер. "12 декабря 2021 года обратная оболочка сбросила пакетный файл install.bat, и через несколько минут после выполнения пакетного файла операторы Ballistic Bobcat запустили свой новейший бэкдор Sponsor".
Написанный на C ++, Sponsor предназначен для сбора информации о хосте и обработки инструкций, полученных с удаленного сервера, результаты выполнения которых отправляются обратно на сервер. Сюда входит выполнение команд и файлов, загрузка файлов и обновление списка серверов, контролируемых злоумышленниками.
"Ballistic Bobcat продолжает работать по модели сканирования и эксплойта, выискивая подходящие объекты с незащищенными уязвимостями на открытых для доступа в Интернет серверах Microsoft Exchange", - сказал Бюргер. "Группа продолжает использовать разнообразный набор инструментов с открытым исходным кодом, дополненный несколькими пользовательскими приложениями, включая бэкдор спонсора".
