На содержании у Sponsor`а оказались 34 компании в критических отраслях.
Исследователи из компании ESET обнаружили новую кампанию хакерской группы Charming Kitten (Phosphorus, TA453, APT35, APT42). В ходе кампании, которая длилась с марта 2021 по июнь 2022 года, было атаковано 34 организации в различных странах. Хакеры использовали ранее неизвестное вредоносное ПО под названием «Sponsor».
Особенности вредоносного кода Sponsor
Sponsor — это бэкдор, написанный на C++, который после запуска создает службу, управляемую конфигурационным файлом. Файл содержит зашифрованные адреса С2-серверов, интервалы связи с ними и ключ для расшифровки RC4. Одной из заметных особенностей является способность Sponsor скрывать свои конфигурационные файлы на диске жертвы, что позволяет ему успешно уклоняться от обнаружения.
Цели и методы атаки
Среди основных целей — организации в сферах госуправления, здравоохранения, финансовых услуг, инжиниринга, производства, технологий, юриспруденции и телекоммуникаций. Наиболее активно атаковались организации в Израиле, Бразилии и ОАЭ.
Для первоначального доступа к сетям целей хакеры эксплуатировали уязвимость CVE-2021-26855 в Microsoft Exchange. Затем для дальнейшего проникновения и эксфильтрации данных использовались различные открытые инструменты, которые облегчают кражу данных, мониторинг системы и проникновение в сеть, а также помогают злоумышленникам поддерживать доступ к взломанным компьютерам.
Инструменты с открытым исходным кодом, используемые в кампании Charming Kitten
Перед установкой Sponsor хакеры размещали на компьютере жертвы пакеты файлов, которые записывали необходимые конфигурационные файлы с названиями вроде config.txt, node.txt и error.txt, чтобы смешать их с обычными файлами и не вызывать подозрений.
Поддерживаемые команды и версии
Sponsor способен выполнять ряд команд, включая отправку идентификатора процесса, выполнение определенных команд на хосте и обмен данными с сервером управления. Эксперты ESET также обнаружили вторую версию Sponsor с дополнительным слоем маскировки, которая делает версию похожей на стандартный инструмент обновления.
Профилактика и меры безопасности
Хотя IP-адреса, использованные в этой кампании, уже не активны, ESET поделилась полными индикаторами компрометации (Indicator of Compromise, IoC), чтобы помочь защититься от возможных будущих угроз, которые могут использовать некоторые из инструментов или инфраструктуры, задействованные в этой кампании. Обнаруженная кампания является напоминанием о необходимости постоянного мониторинга и обновления систем безопасности, особенно для организаций, работающих в критически важных сферах.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале