Un acteur menaçant d’un État-nation connu sous le nom de « Charming Kitten » (Phosphorus, TA453, APT35/42) a été observé en train de déployer un malware de porte dérobée jusqu’alors inconnu nommé « Sponsor » contre 34 entreprises à travers le monde.

L’une des caractéristiques notables de la porte dérobée Sponsor est qu’elle cache ses fichiers de configuration autrement inoffensifs sur le disque de la victime afin qu’ils puissent être discrètement déployés par des scripts batch malveillants, échappant ainsi à la détection.

La campagne identifiée par les chercheurs d’ESET s’est déroulée entre mars 2021 et juin 2022, ciblant les organisations et entreprises gouvernementales et de santé actives dans les services financiers, l’ingénierie, la fabrication, la technologie, le droit, les télécommunications, etc.

Les pays les plus ciblés par la campagne observée par ESET sont Israël, le Brésil et les Émirats arabes unis.

Jalons de la campagne

Cibler les failles de Microsoft Exchange
ESET rapporte que Charming Kitten a principalement exploité CVE-2021-26855, une vulnérabilité d’exécution de code à distance de Microsoft Exchange, pour obtenir un accès initial aux réseaux de ses cibles.

À partir de là, les pirates ont utilisé divers outils open source qui facilitent l’exfiltration de données, la surveillance du système et l’infiltration du réseau et aident également les attaquants à maintenir l’accès aux ordinateurs compromis.

Outils open source utilisés par les pirates

Avant de déployer la porte dérobée Sponsor, la charge utile finale vue dans ces attaques, les pirates déposent des fichiers batch sur des chemins de fichiers spécifiques sur la machine hôte, qui écrit les fichiers de configuration requis.

Ces fichiers sont nommés config.txt, node.txt et error.txt pour se fondre dans les fichiers normaux et éviter d’éveiller des soupçons.

La porte dérobée du sponsor
Sponsor est une porte dérobée C++ qui crée un service au lancement comme indiqué par le fichier de configuration, qui contient également des adresses de serveur de commande et de contrôle (C2) cryptées, des intervalles de contact C2 et la clé de déchiffrement RC4.

Le malware collecte des informations système telles que la source d’alimentation (batterie ou prise) de la version du système d’exploitation (32 ou 64 bits) et les envoie au C2 via le port 80, recevant en retour un ID de nœud, qui est écrit dans le fichier de configuration.

Informations système que le sponsor collecte lors du lancement

Ensuite, la porte dérobée du sponsor entre dans une boucle où elle contacte le C2 à des intervalles de temps définis par le fichier de configuration pour acquérir des commandes à exécuter sur l’hôte.

Voici une liste des commandes prises en charge :

  • Envoie l’ID du processus sponsor en cours d’exécution.
  • Exécute une commande spécifiée sur l’hôte du sponsor et rapporte les résultats au serveur C2.
  • Reçoit et exécute un fichier de C2 avec divers paramètres et communique le succès ou les erreurs à C2.
  • Télécharge et exécute un fichier via l’API Windows et rend compte à C2.
  • Exécute Uninstall.bat à partir du répertoire actuel.
  • Dort de manière aléatoire avant de se reconnecter au serveur C2.
  • Met à jour la liste des C&C dans config.txt et rend compte au C2.
  • Ajuste l’intervalle d’enregistrement dans config.txt et rend compte à C2.

ESET a également vu une deuxième version de Sponsor, qui présente des optimisations de code et une couche de déguisement qui le fait apparaître comme un outil de mise à jour.

Bien qu’aucune des adresses IP utilisées dans cette campagne ne soit plus en ligne, ESET a partagé des IOC complets pour aider à se défendre contre les menaces futures potentielles qui réutilisent certains des outils ou de l’infrastructure Charming Kitten déployés dans cette campagne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *