Les chercheurs d’ESET ont découvert une campagne menée par le groupe Ballistic Bobcat, qui utilise une nouvelle porte dérobée qu’ESET a nommée Sponsor.
Un groupe spécialisé dans le cyberespionnage
Ballistic Bobcat, précédemment suivi par ESET Research sous le nom d’APT35 / APT42 (également connu sous le nom de Charming Kitten, TA453 ou PHOSPHORUS), est un groupe de menace suspecté d’être aligné sur les intérêts de l’Iran. Il est considéré comme avancé et persistant et cible les organisations éducatives, gouvernementales et de soins de santé, ainsi que les militants des droits de l’homme et les journalistes. Il est majoritairement actif en Israël, au Moyen-Orient et aux États-Unis. Son objectif est le cyberespionnage.
La majorité des 34 victimes se trouvent en Israël, deux au Brésil et aux Émirats arabes unis. En Israël, les victimes sont issues des secteurs de l’automobile, de la fabrication, de l’ingénierie, des services financiers, des médias, de la santé, de la technologie et des télécommunications.
Des vulnérabilités non corrigées sur leurs serveurs Microsoft Exchange
Pour 16 des 34 victimes de la campagne nouvellement découverte, nommée Sponsoring Access, il semble que Ballistic Bobcat n’était pas le seul acteur de la menace à avoir accès à leurs systèmes. Cela semble indiquer, conjointement avec la grande variété de victimes et le manque de renseignement préalable sur les victimes, que Ballistic Bobcat ait opté pour une campagne opportuniste. Ceci est contraire au comportement habituel du groupe.
Ainsi, Ballistic Bobcat cherche des cibles ayant des vulnérabilités non corrigées sur leurs serveurs Microsoft Exchange exposés à Internet. « Le groupe continue d’utiliser un ensemble d’outils open source varié complété par plusieurs applications personnalisées, y compris la porte dérobée Sponsor récemment découverte. », selon Adam Burgher, chercheur chez ESET, qui a découvert la porte dérobée et analysé cette campagne.
Pour plus d’informations techniques sur Ballistic Bobcat et sa campagne Sponsoring Access, consultez l’article de blog « Sponsor with batch-filed whiskers: Ballistic Bobcat’s scan and strike backdoor » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.