A equipe da ESET detectou uma campanha ativa de um backdoor não documentado, nomeada como Patrocinador, que atacou 34 organizações espalhadas pelo Brasil, Israel e Emirados Árabes Unidos.
O agente por trás é o Ballistic Bobcat, um suposto grupo de ameaças persistentes avançadas alinhado ao Irã que tem como alvo organizações educacionais, governamentais e de saúde, bem como ativistas de direitos humanos e jornalistas. É mais ativo em Israel, Oriente Médio e nos Estados Unidos. Em particular, durante a pandemia, teve como alvo organizações relacionadas à COVID-19, incluindo a Organização Mundial da Saúde e a Gilead Pharmaceuticals, e pessoal de pesquisa médica.
“Descobrimos o Sponsor após analisar uma amostra detectada no sistema de uma vítima em Israel em maio de 2022 e analisamos o conjunto de vítimas por país. Depois de examinar a amostra, percebemos que se tratava de um novo backdoor implantado pelo grupo Ballistic Bobcat APT. As sobreposições entre as campanhas do Ballistic Bobcat e as versões backdoor mostram um padrão bastante claro de desenvolvimento e implantação da ferramenta, com campanhas direcionadas de duração limitada. Posteriormente, descobrimos outras quatro versões do backdoor do Sponsor. No total, vimos a implantação do Sponsor em pelo menos 34 vítimas no Brasil, Israel e Emirados Árabes Unidos”, disse Adam Burgher, analista de ameaças da ESET.
O Ballistic Bobcat obteve acesso inicial explorando vulnerabilidades conhecidas em servidores Microsoft Exchange expostos à Internet, primeiro realizando varreduras meticulosas do sistema ou da rede para identificar possíveis fraquezas ou vulnerabilidades e, em seguida, atacando e explorando-as.
Se sabe há muito tempo que o grupo realiza ataques como este, no entanto, muitas das vítimas identificadas pela telemetria da ESET poderiam ser melhor descritas como vítimas de oportunidade em vez de pré-selecionadas e investigadas, já que a ESET suspeita que a Ballistic Bobcat realizou o comportamento de varredura e exploração descrito acima porque não era o único ator de ameaças com acesso a esses sistemas.
O backdoor Sponsor usa arquivos de configuração no disco, que são removidos por arquivos em lote, e ambos são inofensivos para evitar mecanismos de verificação. Esta abordagem modular é uma que a Ballistic Bobcat tem usado com bastante frequência e com sucesso modesto nos últimos dois anos e meio. Em sistemas comprometidos, o Ballistic Bobcat também continua a usar várias ferramentas de código aberto.
A maioria das 34 vítimas estava em Israel, e apenas duas em outros países: no Brasil, em uma cooperativa médica e uma operadora de planos de saúde, e nos Emirados Árabes Unidos, em uma organização não identificada. A ESET identificou um provável meio de acesso inicial para 23 das 34 vítimas usando a telemetria interna. Semelhante aos relatórios PowerLess e CISA, o Ballistic Bobcat provavelmente explorou uma vulnerabilidade conhecida, CVE-2021-26855, em servidores Microsoft Exchange para se infiltrar nesses sistemas.
“No caso de 16 das 34 vítimas, parece que o Bobcat Balístico não foi a única ameaça com acesso aos seus sistemas. Isso pode indicar, juntamente com a grande variedade de vítimas e a aparente falta de valor de inteligência sobre algumas vítimas, que o Ballistic Bobcat se envolveu em comportamento exploratório e explorador, em vez de uma campanha direcionada a vítimas pré-selecionadas” , explicou o investigador.
O Ballistic Bobcat continua a operar em um modelo de varredura e exploração, procurando alvos de oportunidade com vulnerabilidades não corrigidas em servidores Microsoft Exchange expostos à Internet. O grupo continua a usar um conjunto variado de ferramentas de código aberto complementadas por vários aplicativos personalizados, incluindo seu backdoor Sponsor. Uma boa prática indicada pela ESET para proteger as organizações seria corrigir todos os dispositivos expostos à Internet e ficar atento aos novos aplicativos que aparecem.
