ESET découvre une nouvelle porte dérobée déployée par un groupe de cyberattaquants aligné sur les intérêts de l’Iran
septembre 2023 par ESET
Les chercheurs d’ESET ont découvert une campagne menée par le groupe Ballistic Bobcat, qui utilise une nouvelle porte dérobée qu’ESET a nommée Sponsor. Ballistic Bobcat, précédemment suivi par ESET Research sous le nom d’APT35 / APT42 (également connu sous le nom de Charming Kitten, TA453 ou PHOSPHORUS), est un groupe de menace suspecté d’être aligné sur les intérêts de l’Iran. Il est considéré comme avancé et persistant et cible les organisations éducatives, gouvernementales et de soins de santé, ainsi que les militants des droits de l’homme et les journalistes. Il est majoritairement actif en Israël, au Moyen-Orient et aux États-Unis. Son objectif est le cyberespionnage. La majorité des 34 victimes se trouvent en Israël, deux au Brésil et aux Émirats arabes unis. En Israël, les victimes sont issues des secteurs de l’automobile, de la fabrication, de l’ingénierie, des services financiers, des médias, de la santé, de la technologie et des télécommunications.
Pour 16 des 34 victimes de la campagne nouvellement découverte, nommée Sponsoring Access, il semble que Ballistic Bobcat n’était pas le seul acteur de la menace à avoir accès à leurs systèmes. Cela semble indiquer, conjointement avec la grande variété de victimes et le manque de renseignement préalable sur les victimes, que Ballistic Bobcat a opté pour une campagne opportuniste. Ceci est contraire au comportement habituel du groupe.
Ainsi, Ballistic Bobcat cherche des cibles ayant des vulnérabilités non corrigées sur leurs serveurs Microsoft Exchange exposés à Internet.
« Le groupe continue d’utiliser un ensemble d’outils open source varié complété par plusieurs applications personnalisées, y compris la porte dérobée Sponsor récemment découverte. », selon Adam Burgher, chercheur chez ESET, qui a découvert la porte dérobée et analysé cette campagne.