Hackers iranianos miram empresas no Brasil, Israel e UAE

Da Redação
12/09/2023

Um grupo operador de ameaças apoiado pelo governo do Irã denominado Charming Kitten (gatinho encantado, em tradução livre), também conhecido como Phosphorus, Ballistic Bobcat, TA453 ou APT35/42,  foi rastreado implantando uma backdoor até então desconhecida, chamada Sponsor (patrocinador), contra 34 empresas no Brasil, Israel e Emirados Árabes Unidos (UAE).

A campanha, batizada de “Sponsoring Access” pelos pesquisadores da ESET, ocorreu entre março de 2021 e junho de 2022, tendo como alvo organizações governamentais e de saúde e empresas dos setores de serviços financeiros, engenharia, manufatura, tecnologia, direito, telecomunicações e outros.

Como parte da operação, os invasores implantaram a backdoor nos sistemas de destino depois de obter acesso inicial por meio de vulnerabilidade conhecida (CVE-2021-26855) nos servidores Microsoft Exchange expostos à internet.

“A backdoor usa arquivos de configuração em disco, descartados por arquivos em lote, e ambos são inócuos para contornar os mecanismos de varredura. Essa abordagem modular é uma que o Ballistic Bobcat tem usado com bastante frequência e com sucesso modesto nos últimos dois anos e meio”, observaram os pesquisadores da ESET.

Em um incidente detalhado pela ESET, uma empresa israelense que opera um mercado de seguros, cujo nome não foi revelado, teria sido infectada pelo Sponsor em agosto de 2021 para entregar cargas úteis de próximo estágio, como PowerLess, Plink e um kit de ferramentas de pós-exploração de código aberto baseado na linguagem Go chamado Merlin.

Veja isso
Iraniano pega cinco anos de prisão nos EUA por ataque de DDoS
Hackers iranianos invadem site do governo americano

“O Ballistic Bobcat continua a operar em um modelo de varredura e exploração, procurando alvos de oportunidade com vulnerabilidades não corrigidas em servidores Microsoft Exchange expostos à internet. O grupo continua a usar um conjunto de ferramentas de código aberto diversificado complementado com vários aplicativos personalizados, incluindo sua backdoor Sponsor. Os profissionais de segurança são aconselhados a corrigir quaisquer dispositivos expostos à internet e permanecer vigilantes para que novos aplicativos surjam dentro de suas organizações”, disse a ESET.

“O Sponsor usa arquivos de configuração armazenados em disco”, disse o pesquisador da ESET Adam Burgher em um novo relatório publicado nesta terça-feira, 12. “Esses arquivos são discretamente implantados por arquivos em lote e deliberadamente projetados para parecer inócuos, tentando assim evitar a detecção por mecanismos de varredura.”

Compartilhar: