迷人的小猫的新后门“赞助商”瞄准巴西、以色列和阿联酋

被称为迷人小猫的伊朗威胁行为者与针对巴西、以色列和阿联酋不同实体的新一波攻击有关，使用以前未记录的名为 Sponsor 的后门。

斯洛伐克网络安全公司正在以Ballistic Bobcat的名义跟踪该集群。受害者学模式表明，该组织主要挑选教育、政府和医疗保健组织，以及人权活动家和记者。

迄今为止，至少发现了 34 名赞助商的受害者，最早的部署事件可以追溯到 2021 年 <> 月。

“赞助商后门使用存储在磁盘上的配置文件，”ESET研究员Adam Burgher在今天发布的一份新报告中说。“这些文件由批处理文件谨慎部署，并故意设计成看起来无害，从而试图逃避扫描引擎的检测。
该活动被称为赞助访问，涉及通过机会主义地利用互联网暴露的 Exchange 服务器中的已知漏洞来执行入侵后操作来获得初始访问权限Microsoft这与澳大利亚、英国和美国在 2021 年 <> 月发布的公告相呼应。

在 ESET 详述的一起事件中，一家经营保险市场的身份不明的以色列公司据说在 2021 年 <> 月被对手渗透，以在未来几个月内提供下一阶段的有效载荷，例如 PowerLess、Plink 和基于 Go 的开源开发后工具包 Merlin。
“Merlin代理执行了一个Meterpreter反向shell，该外壳回调到新的[命令和控制]服务器，”Burgher说。“12 年 2021 月 <> 日，反向外壳删除了一个批处理文件，安装.bat，在执行批处理文件的几分钟内，弹道山猫操作员推动了他们最新的后门 Sponsor。”

Sponsor 以C++编写，旨在收集主机信息并处理从远程服务器接收的指令，其结果将发送回服务器。这包括命令和文件执行、文件下载以及更新攻击者控制的服务器列表。

“弹道山猫继续以扫描和利用模式运行，寻找机会目标，在互联网暴露的Microsoft Exchange服务器中未修补漏洞，”Burgher说。“该集团继续使用多样化的开源工具集，并辅以几个自定义应用程序，包括其赞助商后门。