El equipo de investigación de ESET, compañía de seguridad informática, detectó una campaña activa de un backdoor no documentado al que bautizaron Sponsor que atacó a 34 organizaciones repartidas entre Brasil, Israel y los Emiratos Árabes Unidos.

Amenazas persistentes avanzadas

El grupo APT detrás del backdoor es Ballistic Bobcat, es un presunto grupo de amenazas persistentes avanzadas alineado con Irán que tiene como objetivo organizaciones educativas, gubernamentales y sanitarias, así como activistas de derechos humanos y periodistas; siendo más activo en Israel, Oriente Próximo y Estados Unidos.

En particular, durante la pandemia se dirigió contra organizaciones relacionadas con COVID-19, incluidas la Organización Mundial de la Salud y Gilead Pharmaceuticals, y contra personal de investigación médica.

Adam Burgher, analista de amenazas de ESET, comenta que descubrieron Sponsor después de analizar una muestra detectada en el sistema de una víctima en Israel en mayo de 2022 y analizaron el conjunto de víctimas por país. “Tras examinar la muestra, nos dimos cuenta de que se trataba de un nuevo backdoor desplegado por el grupo Ballistic Bobcat APT; los solapamientos entre las campañas de Ballistic Bobcat y las versiones backdoor de Sponsor muestran un patrón bastante claro de desarrollo y despliegue de la herramienta, con campañas dirigidas a objetivos concretos y de duración limitada” .

Ballistic Bobcat obtuvo el acceso inicial aprovechando vulnerabilidades conocidas en servidores Microsoft Exchange expuestos a internet, realizando primero escaneos meticulosos del sistema o la red para identificar posibles puntos débiles o vulnerabilidades, y posteriormente atacando y explotando esos puntos débiles identificados. Se sabe desde hace tiempo que el grupo lleva a cabo esta conducta. Sin embargo, muchas de las 34 víctimas identificadas en la telemetría de ESET podrían describirse mejor como víctimas de oportunidad en lugar de víctimas preseleccionadas e investigadas, ya que desde ESET sospechan que Ballistic Bobcat llevó a cabo el comportamiento de escaneo y explotación descrito anteriormente porque no era el único actor de amenazas con acceso a estos sistemas.

La mayoría de las 34 víctimas se encontraban en Israel, y sólo dos en otros países:

Brasil, en una cooperativa médica y un operador de seguros de salud

Emiratos Árabes Unidos, en una organización no identificada.

ESET identificó un medio probable de acceso inicial para 23 de las 34 víctimas mediante la telemetría de ESET. Al igual que en los informes de PowerLess y CISA, Ballistic Bobcat probablemente explotó una vulnerabilidad conocida, CVE-2021-26855, en los servidores Microsoft Exchange para introducirse en estos sistemas.

Una buena práctica indicada por ESET sería parchear todos los dispositivos expuestos a internet y permanecer atentos a las nuevas aplicaciones que aparezcan.