- ESET Research a découvert une nouvelle porte dérobée, baptisée “Sponsor” et déployée par le groupe APT Ballistic Bobcat aligné sur les intérêts de l’Iran.
- Le logiciel a été déployé auprès d’au moins 34 victimes au Brésil, en Israël et aux Émirats arabes unis; nous avons nommé cette activité “campagne de parrainage de l’accès”.
- Ballistic Bobcat à un comportement opportuniste, de balayage et d’exploitation de vulnérabilités, par opposition à une campagne ciblée contre des victimes présélectionnées. Les victimes proviennent de divers secteurs d’activité.
- La porte dérobée “Sponsor“ utilise des fichiers de configuration stockés sur le disque. Ces fichiers sont discrètement déployés par des fichiers batch. Ils sont conçus délibérément pour paraître inoffensifs, pour échapper à la détection.
Les chercheurs d’ESET ont découvert une campagne menée par le groupe Ballistic Bobcat, qui utilise une nouvelle porte dérobée qu’ESET a nommée Sponsor. Ballistic Bobcat, précédemment suivi par ESET Research sous le nom d’APT35 / APT42 (également connu sous le nom de Charming Kitten, TA453 ou PHOSPHORUS), est un groupe de menace suspecté d’être aligné sur les intérêts de l’Iran. Il est considéré comme avancé et persistant et cible les organisations éducatives, gouvernementales et de soins de santé, ainsi que les militants des droits de l’homme et les journalistes. Il est majoritairement actif en Israël, au Moyen-Orient et aux États-Unis. Son objectif est le cyberespionnage. La majorité des 34 victimes se trouvent en Israël, deux au Brésil et aux Émirats arabes unis. En Israël, les victimes sont issues des secteurs de l’automobile, de la fabrication, de l’ingénierie, des services financiers, des médias, de la santé, de la technologie et des télécommunications.
Pour 16 des 34 victimes de la campagne nouvellement découverte, nommée Sponsoring Access, il semble que Ballistic Bobcat n’était pas le seul acteur de la menace à avoir accès à leurs systèmes. Cela semble indiquer, conjointement avec la grande variété de victimes et le manque de renseignement préalable sur les victimes, que Ballistic Bobcat ait opté pour une campagne opportuniste. Ceci est contraire au comportement habituel du groupe.
Ainsi, Ballistic Bobcat cherche des cibles ayant des vulnérabilités non corrigées sur leurs serveurs Microsoft Exchange exposés à Internet. « Le groupe continue d’utiliser un ensemble d’outils open source varié complété par plusieurs applications personnalisées, y compris la porte dérobée Sponsor récemment découverte. », selon Adam Burgher, chercheur chez ESET, qui a découvert la porte dérobée et analysé cette campagne.
Pour plus d’informations techniques sur Ballistic Bobcat et sa campagne Sponsoring Access, consultez l’article de blog « Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.
Répartition géographique des entités ciblées par Ballistic Bobcat avec la porte dérobée du sponsor