O Ballistic Bobcat é um grupo APT alinhado ao Irã e, inicialmente, há cerca de dois anos, pesquisadores de segurança cibernética da ESET rastrearam esse grupo de ameaças. Abaixo, mencionamos todos os outros nomes do grupo Ballistic Bobcat APT: –
- APT35
- APT42
- Gatinho encantador
- TA453
- FÓSFORO
Recentemente, analistas de segurança cibernética da ESET encontraram uma nova campanha Ballistic Bobcat, Sponsor Malware, por meio da qual os agentes de ameaças estão visando ativamente diversas entidades em:-
- Brasil
- Israel
- Os Emirados Árabes Unidos
Especialistas em segurança descobrem o Sponsor, um novo backdoor implantado pelo grupo Ballistic Bobcat APT, a partir de uma amostra interessante no sistema de uma vítima israelense em maio de 2022.
Linha do tempo e vitimologia
Durante a pandemia, visou ativamente organizações relacionadas com a COVID-19 em todo o mundo, incluindo a OMS e a Gilead.
As campanhas backdoor do Ballistic Bobcat e do Sponsor se sobrepõem, revelando um padrão claro no desenvolvimento de ferramentas. Foram encontradas mais quatro versões do Sponsor, implantadas no Brasil, em Israel e nos Emirados Árabes Unidos, visando 34 vítimas.
Aqui na imagem abaixo, o cronograma completo é fornecido: –
O Ballistic Bobcat explorou as vulnerabilidades do Microsoft Exchange, muitas vezes de forma oportunista, em uma campanha chamada “Acesso de Patrocínio”.
O backdoor patrocinador emprega arquivos de configuração inócuos e uma abordagem modular para evitar varreduras, uma tática frequentemente usada pelo Ballistic Bobcat há mais de dois anos, juntamente com ferramentas de código aberto em sistemas comprometidos.
Além disso, entre as 34 vítimas, o número máximo delas estava localizada em Israel, enquanto apenas duas das vítimas eram de outros países:-
Brasil, em uma cooperativa médica e operadoras de planos de saúde Emirados Árabes Unidos, em uma organização não identificada
Verticais segmentados em Israel
Aqui abaixo, mencionamos todos os setores que foram direcionados em Israel: –
- Automotivo
- Comunicações
- Engenharia
- Serviços financeiros
- Assistência médica
- Seguro
- Lei
- Fabricação
- Varejo
- Tecnologia
- Telecomunicações
Além disso, os analistas de segurança descoberto que o Ballistic Bobcat atingiu um mercado de seguros israelense em agosto de 2021, explorando as ferramentas relatadas pela CISA e encontrou os seguintes IOCs: –
- MicrosoftOutlookUpdateSchedule
- MicrosoftOutlookUpdateSchedule.xml
- Gerenciamento de alterações do Google
- GoogleChangeManagement.xml
Na campanha Sponsoring Access, diversas ferramentas de código aberto foram utilizadas pelos operadores do Ballistic Bobcat, e aqui está a lista completa:-
- host2ip.exe
- RevSocks
- Mimikatz
- Empacotador PE Tatu
- Túnel Simples GO (GOST)
- Formão
- csrss_protected.exe
- Plink (Link PuTTY)
- WebBrowserPassView.exe
- sqlextractor.exe
- ProcDump
Os backdoors patrocinadores em C++ incluem carimbos de data/hora de compilação, caminhos PDB e informações de versão para rastrear alterações. Enquanto o patrocinador coleta informações do host, as envia para o servidor C&C e registra o ID do nó em node.txt.
Ballistic Bobcat pegou carona no PowerLess C&C e introduziu um novo servidor, usando vários IPs para ferramentas, que agora estão inativas.
