به گزارش کارگروه حملات سایبری سایبربان؛ یک گروه هکری به نام چارمینگ کیتِن که آن را به ایران منتسب میکنند، هفته گذشته با استفاده از بدافزار پیش از این ناشناخته ای به نام 'Sponsor' در 34 شرکت دنیا در پشتی ایجاد کرده است.
یکی از ویژگی های قابل توجه در پشتی Sponsor (اسپانسِر)، مخفی سازی فایل های پیکربندی موجود بر روی دیسک مرکز مورد هدف قرار گرفته است. بنابراین هکرها می توانند از طریق بچ اسکریپت های مخرب، این فایل ها را به منظور دور زدن فیلترهای شناسایی مورد استفاده قرار دهند.
این کمپین که توسط محققین ESET شناسایی شده بین مارس 2021 و ژوئن 2022 اتفاق افتاده است. در این کمپین سازمان های دولتی و فعال در حوزه مراقبت سلامت و همچنین شرکت های مرتبط با بخش خدمات مالی، مهندسی، تولید، فناوری، مخابرات، قضایی و...را مورد هدف قرار گرفته اند.
رژیم صهیونیستی، برزیل و امارات متحده عربی بیشترین آمار هدف قرار گیری در این کمپین را به ثبت رسانده اند.
طبق گزارش ESET چارمینگ کیتن با بهره برداری از آسیب پذیری CVE-2021-26855 مایکروسافت اکسچنج دسترسی اولیه ای را به شبکه اهداف خود به دست می آورد.
هکرها از آنجا با استفاده از ابزارهای متن باز متنوع اقدام به انتقال غیر مجاز داده، کنترل سیستم و نفوذ به شبکه می کند و دسترسی خود را حفظ خواهد کرد.
هکرها پیش از اعمال در پشتی اسپانسر، فایل های بَچ را بر روی مسیرهای فایلی خاصی در دستگاه هدف رهاسازی می کنند. این موضوع منجر به نوشته شدن فایل های پیکربندی موردنیاز خواهد شد.
ا
ین فایل ها که config.txt، node.txt و error.txt نام دارند با فایل های معمول ترکیب می شوند و شانس شناسایی هکرها را به حداقل می رسانند.
اسپانسر یک در پشتی با زبان برنامه نویسی C++ است که حاوی نشانی های سرور کنترل و فرمان رمزنگاری شده و کلید رمزگشایی RC4 می باشد.
این بدافزار اطلاعات سیستم را جمع آوری و آن را از طریق پورت 80 به سرور کنترل و فرمان ارسال می کند. علاوه بر این، در پشتی اسپانسر وارد چرخه ای می شود که در آن، در بازه های زمانی مشخص شده توسط فایل پیکربندی، با سرور کنترل و فرمان ارتباط برقرار می کند و دستورات را بر روی سیستم میزبان به اجرا می رساند.
