Se ha observado que un actor de amenazas de un estado-nación conocido como ‘Charming Kitten’ (Phosphorus, TA453, APT35/42) implementa un malware de puerta trasera previamente desconocido llamado ‘Sponsor’ contra 34 empresas de todo el mundo.
Una de las características notables de la puerta trasera del Patrocinador es que oculta sus archivos de configuración, que de otro modo serían inocuos, en el disco de la víctima para que puedan ser implementados discretamente mediante secuencias de comandos por lotes maliciosos, evadiendo con éxito la detección.
La campaña identificada por los investigadores de ESET se extendió entre marzo de 2021 y junio de 2022 y se dirigió a organizaciones y empresas gubernamentales y de atención médica dedicadas a servicios financieros, ingeniería, manufactura, tecnología, derecho, telecomunicaciones y más.
Los países más objetivo de la campaña observada por ESET son Israel, Brasil y los Emiratos Árabes Unidos.
Apuntando a las fallas de Microsoft Exchange
ESET informa que Charming Kitten aprovechó principalmente CVE-2021-26855, una vulnerabilidad de ejecución remota de código de Microsoft Exchange, para obtener acceso inicial a las redes de sus objetivos.
A partir de ahí, los piratas informáticos utilizaron varias herramientas de código abierto que facilitan la filtración de datos, la supervisión del sistema y la infiltración en la red y también ayudan a los atacantes a mantener el acceso a las computadoras comprometidas.
Antes de implementar la puerta trasera del patrocinador, la carga útil final que se ve en estos ataques, los piratas informáticos colocan archivos por lotes en rutas de archivos específicas en la máquina host, que escribe los archivos de configuración necesarios.
Simplifique el duro trabajo de los departamentos de TI con la mejor seguridad. Elija un producto de endpoint que ofrezca protección instantánea y pueda crecer cuando sea necesario.
Conocer..
Estos archivos se denominan config.txt, node.txt y error.txt para combinarse con los archivos normales y evitar levantar sospechas.
La puerta trasera del patrocinador
El patrocinador es una puerta trasera de C++ que crea un servicio al iniciarse según las instrucciones del archivo de configuración, que también contiene direcciones de servidor de comando y control (C2) cifradas, intervalos de contacto C2 y la clave de descifrado RC4.
El malware recopila información del sistema, como la fuente de alimentación (batería o enchufe) de la compilación del sistema operativo (32 o 64 bits) y la envía al C2 a través del puerto 80, recibiendo una ID de nodo, que se escribe en el archivo de configuración.
A continuación, la puerta trasera del patrocinador ingresa a un bucle donde contacta al C2 en intervalos de tiempo definidos por el archivo de configuración para adquirir comandos para su ejecución en el host.
Aquí hay una lista de los comandos admitidos:
- Envía el ID del proceso del patrocinador en ejecución.
- Ejecuta un comando específico en el host del patrocinador e informa los resultados al servidor C2.
- Recibe y ejecuta un archivo desde C2 con varios parámetros y comunica el éxito o los errores a C2.
- Descarga y ejecuta un archivo a través de la API de Windows y lo informa a C2.
- Ejecuta Uninstall.bat desde el directorio actual.
- Duerme aleatoriamente antes de volver a conectarse con el servidor C2.
- Actualiza la lista de C&C en config.txt e informa a C2.
- Ajusta el intervalo de registro en config.txt e informa a C2.
ESET también ha visto una segunda versión de Sponsor, que presenta optimizaciones de código y una capa de disfraz que lo hace parecer una herramienta de actualización.
Aunque ninguna de las direcciones IP utilizadas en esta campaña ya está en línea, ESET ha compartido IOC completos para ayudar a defenderse contra posibles amenazas futuras que reutilizan algunas de las herramientas o infraestructura que Charming Kitten implementó en esa campaña.
Fuente: bleepingcomputer
