I ricercatori di ESET hanno scoperto una backdoor, denominata Sponsor, che sfrutta una vecchia vulnerabilità di Microsoft Exchange per accedere alle reti aziendali e consentire il furto di numerose informazioni sensibili. Il malware circola da oltre due anni e viene frequentemente aggiornato per evitare la rilevazione.
Sponsor: backdoor iraniana
Gli esperti di ESET hanno scoperto che la maggioranza delle vittime si trova in Israele. Gli attacchi sono stati effettuati da Ballistic Bobcat (noto anche come Charming Kitten o Phosphorus), un gruppo di cybercriminali iraniani quasi certamente finanziati dal governo. L’ingresso nelle reti aziendali avviene sfruttando la vulnerabilità CVE-2021-26855 (corretta da Microsoft oltre due anni fa) che permette di effettuare una connessione remota sulla porta 443 di Exchange.
Dopo aver ottenuto l’accesso alla rete, i cybercriminali utilizzano vari tool per eseguire numerose attività, tra cui il monitoraggio del sistema, la raccolta delle password dai browser e l’esfiltrazione dei dati. Prima di installare la backdoor vengono copiati su disco alcuni file batch che generano i file di configurazione (essendo semplici .txt
non destano sospetti).
La backdoor Sponsor, scritta in linguaggio C++, crea un servizio al lancio, come indicato nei file di configurazione e invia le informazioni sul sistema al server C2 (command and control). Da quest’ultimo riceve quindi i comandi per le successive attività. La comunicazione avviene in forma cifrata.
Sono state rilasciate cinque versioni di Sponsor, l’ultima delle quali circa un anno fa. Ovviamente è fortemente consigliato l’aggiornamento di Microsoft Exchange per bloccare la “porta di ingresso” del malware.