Se connecter
Inscription
Mot de passe perdu
ESET Research : avec sa nouvelle porte dérobée, Ballistic Bobcat, lié à l'Iran, cible les entreprises
Publié le 11/09/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research a découvert Sponsor, une nouvelle porte dérobée, déployée par le groupe Ballistic Bobcat APT lié à l'Iran.
• Sponsor a été déployé auprès de 34 victimes minimum, au Brésil, en Israël et aux Émirats arabes unis ; ESET a nommé cette campagne Sponsoring Access.
• Ballistic Bobcat s’est livré à une campagne d’analyse et d’exploitation, l’opposé d’une campagne ciblée contre des victimes présélectionnées. Les victimes viennent dans divers secteurs d’activité.
• La porte dérobée de Sponsor utilise des fichiers de configuration stockés sur disque. Ces fichiers sont discrètement déployés par fichiers batch et conçus pour paraître inoffensifs, dans le but d'échapper à la détection par les moteurs d'analyse.
BRATISLAVA, MONTREAL — Le 11 septembre 2023 — Les chercheurs d'ESET ont découvert une campagne du groupe Ballistic Bobcat, qui utilise une nouvelle porte dérobée qu’ESET a nommée Sponsor. Ballistic Bobcat, suivi précédemment par ESET sous le nom d'APT35/APT42 (également connu comme Charming Kitten, TA453 ou PHOSPHORUS), est un groupe de menace avancé, persistant et présumé lié à l'Iran, qui cible des organisations éducatives, gouvernementales et sanitaires ainsi que des militants des droits de l'homme et des journalistes. Il est particulièrement actif en Israël, au Moyen-Orient et aux USA. Son objectif est le cyber-espionnage. Une large majorité des 34 victimes se trouvent en Israël et seulement deux au Brésil et dans les Émirats arabes unis. En Israël, les secteurs de l’automobile, de l’industrie manufacturière, de l’ingénierie, des services financiers, des médias, de la santé, de la technologie et des télécommunications ont été attaqués.
Pour 16 des 34 victimes de la récente campagne, nommée Sponsoring Access, il semble que Ballistic Bobcat n'était pas le seul acteur malveillant à avoir accès à leurs systèmes. Cela peut indiquer, en plus de la grande variété de victimes et le manque apparent de valeur de renseignement de quelques-unes, que Ballistic Bobcat a eu un comportement de scan et d'exploitation, par opposition à une campagne ciblée sur des victimes présélectionnées.
Ballistic Bobcat continue donc de rechercher des cibles d'opportunité présentant des vulnérabilités non corrigées dans les serveurs Microsoft Exchange Internet. «Le groupe continue d'utiliser un ensemble d'outils open source divers complété par plusieurs applications personnalisées, dont Sponsor, la porte dérobée découverte récemment. Les défenseurs feraient bien de patcher tous les appareils exposés à Internet et de rester vigilants face aux nouvelles applications apparaissant au sein de leurs organisations », déclare Adam Burgher, le chercheur d'ESET qui a découvert la porte dérobée Sponsor et a analysé la dernière campagne Ballistic Bobcat.
La porte dérobée Sponsor utilise des fichiers de configuration stockés sur disque. Ces fichiers sont discrètement déployés par des fichiers batch et spécialement conçus pour paraître inoffensifs, dans le but d'échapper à la détection par les moteurs d'analyse. Ballistic Bobcat a déployé la nouvelle porte dérobée en septembre 2021, alors qu'il terminait la campagne documentée dans l'alerte CISA AA21-321A et la campagne PowerLess.
Pendant la pandémie, Ballistic Bobcat ciblait les organisations liées au COVID-19, dont l’Organisation mondiale de la santé et Gilead Pharmaceuticals, ainsi que du personnel de recherche médicale.
Pour plus d'informations techniques sur Ballistic Bobcat et sa campagne Sponsoring Access, consultez le blog “Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor,” sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd'hui X) pour les dernières nouvelles d'ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
• Sponsor a été déployé auprès de 34 victimes minimum, au Brésil, en Israël et aux Émirats arabes unis ; ESET a nommé cette campagne Sponsoring Access.
• Ballistic Bobcat s’est livré à une campagne d’analyse et d’exploitation, l’opposé d’une campagne ciblée contre des victimes présélectionnées. Les victimes viennent dans divers secteurs d’activité.
• La porte dérobée de Sponsor utilise des fichiers de configuration stockés sur disque. Ces fichiers sont discrètement déployés par fichiers batch et conçus pour paraître inoffensifs, dans le but d'échapper à la détection par les moteurs d'analyse.
BRATISLAVA, MONTREAL — Le 11 septembre 2023 — Les chercheurs d'ESET ont découvert une campagne du groupe Ballistic Bobcat, qui utilise une nouvelle porte dérobée qu’ESET a nommée Sponsor. Ballistic Bobcat, suivi précédemment par ESET sous le nom d'APT35/APT42 (également connu comme Charming Kitten, TA453 ou PHOSPHORUS), est un groupe de menace avancé, persistant et présumé lié à l'Iran, qui cible des organisations éducatives, gouvernementales et sanitaires ainsi que des militants des droits de l'homme et des journalistes. Il est particulièrement actif en Israël, au Moyen-Orient et aux USA. Son objectif est le cyber-espionnage. Une large majorité des 34 victimes se trouvent en Israël et seulement deux au Brésil et dans les Émirats arabes unis. En Israël, les secteurs de l’automobile, de l’industrie manufacturière, de l’ingénierie, des services financiers, des médias, de la santé, de la technologie et des télécommunications ont été attaqués.
Pour 16 des 34 victimes de la récente campagne, nommée Sponsoring Access, il semble que Ballistic Bobcat n'était pas le seul acteur malveillant à avoir accès à leurs systèmes. Cela peut indiquer, en plus de la grande variété de victimes et le manque apparent de valeur de renseignement de quelques-unes, que Ballistic Bobcat a eu un comportement de scan et d'exploitation, par opposition à une campagne ciblée sur des victimes présélectionnées.
Ballistic Bobcat continue donc de rechercher des cibles d'opportunité présentant des vulnérabilités non corrigées dans les serveurs Microsoft Exchange Internet. «Le groupe continue d'utiliser un ensemble d'outils open source divers complété par plusieurs applications personnalisées, dont Sponsor, la porte dérobée découverte récemment. Les défenseurs feraient bien de patcher tous les appareils exposés à Internet et de rester vigilants face aux nouvelles applications apparaissant au sein de leurs organisations », déclare Adam Burgher, le chercheur d'ESET qui a découvert la porte dérobée Sponsor et a analysé la dernière campagne Ballistic Bobcat.
La porte dérobée Sponsor utilise des fichiers de configuration stockés sur disque. Ces fichiers sont discrètement déployés par des fichiers batch et spécialement conçus pour paraître inoffensifs, dans le but d'échapper à la détection par les moteurs d'analyse. Ballistic Bobcat a déployé la nouvelle porte dérobée en septembre 2021, alors qu'il terminait la campagne documentée dans l'alerte CISA AA21-321A et la campagne PowerLess.
Pendant la pandémie, Ballistic Bobcat ciblait les organisations liées au COVID-19, dont l’Organisation mondiale de la santé et Gilead Pharmaceuticals, ainsi que du personnel de recherche médicale.
Pour plus d'informations techniques sur Ballistic Bobcat et sa campagne Sponsoring Access, consultez le blog “Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor,” sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd'hui X) pour les dernières nouvelles d'ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Android
Droit
