迷人的小猫的新后门“赞助商”瞄准巴西、以色列和阿联酋

2023-09-12 12:43:22 5 2049

“赞助商后门使用存储在磁盘上的配置文件,”ESET研究员Adam Burgher在今天发布的一份新报告中说。“这些文件由批处理文件谨慎部署,并故意设计成看起来无害,从而试图逃避扫描引擎的检测。


被称为迷人小猫的伊朗威胁行为者与针对巴西、以色列和阿联酋不同实体的新一波攻击有关,使用以前未记录的名为 Sponsor 的后门。

斯洛伐克网络安全公司正在以Ballistic Bobcat的名义跟踪该集群。受害者学模式表明,该组织主要挑选教育、政府和医疗保健组织,以及人权活动家和记者。

迄今为止,至少发现了 34 名赞助商的受害者,最早的部署事件可以追溯到 2021 年 <> 月。

“赞助商后门使用存储在磁盘上的配置文件,”ESET研究员Adam Burgher在今天发布的一份新报告中说。“这些文件由批处理文件谨慎部署,并故意设计成看起来无害,从而试图逃避扫描引擎的检测。
该活动被称为赞助访问,涉及通过机会主义地利用互联网暴露的 Exchange 服务器中的已知漏洞来执行入侵后操作来获得初始访问权限Microsoft这与澳大利亚、英国和美国在 2021 年 <> 月发布的公告相呼应。

在 ESET 详述的一起事件中,一家经营保险市场的身份不明的以色列公司据说在 2021 年 <> 月被对手渗透,以在未来几个月内提供下一阶段的有效载荷,例如 PowerLess、Plink 和基于 Go 的开源开发后工具包 Merlin。
“Merlin代理执行了一个Meterpreter反向shell,该外壳回调到新的[命令和控制]服务器,”Burgher说。“12 年 2021 月 <> 日,反向外壳删除了一个批处理文件,安装.bat,在执行批处理文件的几分钟内,弹道山猫操作员推动了他们最新的后门 Sponsor。”

Sponsor 以C++编写,旨在收集主机信息并处理从远程服务器接收的指令,其结果将发送回服务器。这包括命令和文件执行、文件下载以及更新攻击者控制的服务器列表。

“弹道山猫继续以扫描和利用模式运行,寻找机会目标,在互联网暴露的Microsoft Exchange服务器中未修补漏洞,”Burgher说。“该集团继续使用多样化的开源工具集,并辅以几个自定义应用程序,包括其赞助商后门。

关于作者

cc3ini24篇文章209篇回复

一个渗透测试在学的菜鸡!

评论5次

要评论?请先  登录  或  注册