Израиль, Бразилия, ОАЭ: на кого нацелились хакеры с новым вредоносом «Sponsor»?

Исследователи из компании ESET обнаружили новую кампанию хакерской группы Charming Kitten (Phosphorus, TA453, APT35, APT42). В ходе кампании, которая длилась с марта 2021 по июнь 2022 года, было атаковано 34 организации в различных странах. Хакеры использовали ранее неизвестное вредоносное ПО под названием «Sponsor».

Особенности вредоносного кода Sponsor

Sponsor — это бэкдор, написанный на C++, который после запуска создает службу, управляемую конфигурационным файлом. Файл содержит зашифрованные адреса С2-серверов, интервалы связи с ними и ключ для расшифровки RC4. Одной из заметных особенностей является способность Sponsor скрывать свои конфигурационные файлы на диске жертвы, что позволяет ему успешно уклоняться от обнаружения.

Цели и методы атаки

Среди основных целей — организации в сферах госуправления, здравоохранения, финансовых услуг, инжиниринга, производства, технологий, юриспруденции и телекоммуникаций. Наиболее активно атаковались организации в Израиле, Бразилии и ОАЭ.

Для первоначального доступа к сетям целей хакеры эксплуатировали уязвимость CVE-2021-26855 в Microsoft Exchange. Затем для дальнейшего проникновения и эксфильтрации данных использовались различные открытые инструменты, которые облегчают кражу данных, мониторинг системы и проникновение в сеть, а также помогают злоумышленникам поддерживать доступ к взломанным компьютерам.

Инструменты с открытым исходным кодом, используемые в кампании Charming Kitten

Перед установкой Sponsor хакеры размещали на компьютере жертвы пакеты файлов, которые записывали необходимые конфигурационные файлы с названиями вроде config.txt, node.txt и error.txt, чтобы смешать их с обычными файлами и не вызывать подозрений.

Поддерживаемые команды и версии

Sponsor способен выполнять ряд команд, включая отправку идентификатора процесса, выполнение определенных команд на хосте и обмен данными с сервером управления. Эксперты ESET также обнаружили вторую версию Sponsor с дополнительным слоем маскировки, которая делает версию похожей на стандартный инструмент обновления.

Профилактика и меры безопасности

Хотя IP-адреса, использованные в этой кампании, уже не активны, ESET поделилась полными индикаторами компрометации (Indicator of Compromise, IoC), чтобы помочь защититься от возможных будущих угроз, которые могут использовать некоторые из инструментов или инфраструктуры, задействованные в этой кампании. Обнаруженная кампания является напоминанием о необходимости постоянного мониторинга и обновления систем безопасности, особенно для организаций, работающих в критически важных сферах.