Kẻ đe dọa Iran có tên là Charming Kitten có liên quan đến một làn sóng tấn công mới nhắm vào các thực thể khác nhau ở Brazil, Israel và UAE bằng cách sử dụng một cửa hậu không có giấy tờ trước đây có tên là Nhà tài trợ.
Công ty an ninh mạng Slovakia đang theo dõi cụm này dưới tên Ballistic Bobcat . Mô hình nạn nhân cho thấy nhóm này chủ yếu nhắm vào các tổ chức giáo dục, chính phủ và chăm sóc sức khỏe cũng như các nhà hoạt động nhân quyền và nhà báo.
Cho đến nay, ít nhất 34 nạn nhân của Nhà tài trợ đã được phát hiện, trong đó trường hợp triển khai sớm nhất là từ tháng 9 năm 2021.
“Cửa sau của Nhà tài trợ sử dụng các tệp cấu hình được lưu trữ trên đĩa”, nhà nghiên cứu Adam Burgher của ESET cho biết trong một báo cáo mới được công bố hôm nay. "Các tệp này được triển khai một cách kín đáo bởi các tệp bó và được thiết kế có chủ ý để có vẻ vô hại, do đó cố gắng tránh bị phát hiện bởi các công cụ quét."
Chiến dịch này có tên là Quyền truy cập tài trợ, liên quan đến việc giành được quyền truy cập ban đầu bằng cách khai thác cơ hội các lỗ hổng đã biết trong các máy chủ Microsoft Exchange xuất hiện trên Internet để tiến hành các hành động sau xâm phạm, lặp lại lời khuyên do Úc , Anh và Mỹ ban hành vào tháng 11 năm 2021.
Trong một sự cố được ESET trình bày chi tiết, một công ty Israel không xác định đang điều hành một thị trường bảo hiểm được cho là đã bị đối thủ xâm nhập vào tháng 8 năm 2021 để cung cấp các tải trọng ở giai đoạn tiếp theo như PowerLess , Plink và khai thác sau nguồn mở dựa trên Go. bộ công cụ có tên Merlin trong vài tháng tới.
Burgher nói: “Đặc vụ Merlin đã thực thi một shell đảo ngược của Meterpreter để gọi trở lại máy chủ [ra lệnh và kiểm soát] mới”. "Vào ngày 12 tháng 12 năm 2021, lớp vỏ đảo ngược đã loại bỏ một tệp bó, install.bat và trong vòng vài phút sau khi thực thi tệp bó, các nhà khai thác Ballistic Bobcat đã đẩy cửa hậu mới nhất của họ, Nhà tài trợ."
Được viết bằng C++, Nhà tài trợ được thiết kế để thu thập thông tin máy chủ và xử lý các hướng dẫn nhận được từ máy chủ từ xa, kết quả sẽ được gửi trở lại máy chủ. Điều này bao gồm thực thi lệnh và tệp, tải xuống tệp và cập nhật danh sách các máy chủ do kẻ tấn công kiểm soát.
Burgher cho biết: “Ballistic Bobcat tiếp tục hoạt động theo mô hình quét và khai thác, tìm kiếm các mục tiêu cơ hội có lỗ hổng chưa được vá trong các máy chủ Microsoft Exchange được cung cấp trên internet”. "Nhóm tiếp tục sử dụng bộ công cụ nguồn mở đa dạng được bổ sung một số ứng dụng tùy chỉnh, bao gồm cả cửa hậu Nhà tài trợ của nó."